Efter ny kritisk sårbarhed: Drop nu SSL

Ny kritisk sårbarhed rammer to protokoller i SSL. Drop den gamle teknologi, lyder rådet fra en ekspert.

Annonce:
Annonce:

Om https

Kort fortalt benyttes https på sites, hvor der er udveksling af fortrolige oplysninger som brugernavne, passwords, kreditkortoplysninger. Det kunne eksempelvis være i webshops, i netbanken og hos din webmail-udbyder.

Banker og webshops har kørt med HTTPS-kryptering i flere år, efter den hedengangne browser Netscape Navigator introducerede teknologien helt tilbage i 1994.

Det skyldes, at HTTPS har den fordel, at du som bankkunde kan være nogenlunde sikker på, at det rent faktisk er din egen bank, du besøger og ikke en hjemmeside, der udgiver sig for at være din bank.

Du skal dog stadig være opmærksom på, at du er på det rette webdomæne - minbank.dk frem for minhacketbank.dk.

Derudover kan du også være ret sikker på, at ingen kan aflytte og opsnuse de pengetransaktioner, som du foretager dig på bankens hjemmeside, da al trafik mellem din browser og bankens HTTPS-certifikat vil være krypteret.

Datakryptering er internetsikkerhedens hjørnesten.

Secure Socket Layer eller bare SSL er en af de teknologier, der er udviklet til at gøre net-sikkerheden højere.

Men teknologien er på vej på pension, og her mod slutningen af karrieren er SSL blevet ramt af en kritisk sårbarhed, der har fået navnet Poodle.

For at forvandle almindelig http-trafik til sikker https-trafik er det SSL og TLS (Transport Layer Security), der anvendes som sikkerhedslag.

SSL er som sagt på vej ud af billedet, mens TLS er afløseren.

"SSL hænger egentlig tilbage, fordi webserverne kører versioner, der ikke er tidssvarende eller opdaterede," siger Peter Kruse, der er sikkerhedsekspert i firmaet CSIS.

TLS blev skabt i 1999 som en forbedring af SSL 3.0-krypteringen. TLS bliver anvendt som en del af https-krypteringen, og den er i det hele taget blevet web-standard for datakryptering.

"TLS er nyere og har i dag, i modsætning til SSL2 og SSL3, fuld understøttelse og support. Langt de fleste browsere, som er frigivet i 2014, understøtter da også TLS," siger sikkerhedsmanden.

To protokoller driller
Selv om SSL og TLS på mange måder ligner hinanden, er der to protokoller, der adskiller dem, og det er netop i disse protokoller, at der er opstået problemer for SSL.

"Gennem de to protokoller åbner Poodle-sårbarheden for klassiske Man in The Middle-angreb, eller gør det muligt at dekryptere dele af den krypterede trafik ved at injekte data i SSL3 data-strømmen. Angrebet åbner mulighed for at dekryptere 1 byte ad gangen. Ved tilstrækkelig, og vedholdende angreb, er det således muligt at knække krypteringen og læse i SSL3-trafikken," fortæller Peter Kruse.

For at krybe uden om problemerne giver han et par enkle løsninger.

Send SSL på pension
For det første skal man sende SSL3 på pension på sin server og sine programmer.

"Man skal migrere sine servere og applikationer til at understøtte TLS. Det er ikke besværligt, men kan ofte løses med en enkelt linje eller et flueben i webserver-softwaren. Ligeledes bør man se sit netværk igennem for applikationer, der anvender SSL," fortæller han.

"Apache er den mest anvendte webserver, og den kan let rettes så SSL2 og SSL3 lukkes ned. Man skal blot tilføje: "SSLProtocol All -SSLv2 -SSLv3" til konfigurationen," beskriver han.

Du kan finde en automatiseret test her, der kigger netværket igennem eller finder programmer, herunder din browser, som benytter SSL. 

Der kan også være problemer på klientsiden med browsere, der anvender SSL.

I følge Cloudflare er det dog ikke ret mange. Eksempelvis understøtter kun 0.09 procent af deres besøgende SSL3, skriver firmaet på sin blog.

Problemløsningen ligger således typisk på web-serveren.

Du kan læse mere om problemet på Googles sikkerheds-blog

Det er ikke første gang, at SSL er ramt af sikkerhedsproblemer.

Det kan du læse mere om her: Kritisk SSL-hul er bombe under internet-sikkerheden og i denne historie: Slem brist i SSL-protokol åbner for avanceret angreb


Læs også:

Sådan bryder hackere internet-kryptering

Guide: Sådan gør du din hjemmeside sikker med HTTPS


Ytringer på debatten er afsenders eget ansvar - læs debatreglerne
Indlæser debat...


Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
EG A/S
Udvikling, salg, implementering og support af software og it-løsninger til ERP, CRM, BA, BI, e-handel og portaler. Infrastrukturløsninger og hardware. Fokus på brancheløsninger.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Få succes med sourcing

Sourcing er en af de vigtigste strategiske discipliner i moderne it-drift. Uanset om du overvejer at in- eller outsource og hvad enten det er globalt eller lokalt, så kræver det viden og styr på aftaler og kontrakter. Læs mere

Whilborgs Konferencecenter - 2750 Ballerup



Datasikkerhed

Aldrig tidligere har det været mere afgørende, at vores it-systemer og data er sikre, for aldrig tidligere har vi været så afhængige af data. Og aldrig tidligere har vores data og systemer været så udsatte med så mange indgangsveje og muligheder for at blive ramt: Cloud, mobilbrug, BYOD samt virksomhedernes ofte meget fragmenterede it-infrastruktur med mange forskellige applikationer på kryds og tværs har givet mange nye kanaler ind til virksomhedernes netværk og systemer. Læs mere

Comwell Hotel Aarhus - 8000 Aarhus



Softwaretest

Kvalitetssikring af software kræver test. Som disciplin er softwaretest i rivende udvikling. Hvad der for få år siden kun var forbeholdt få store it-afdelinger er i dag godt på vej til at blive standard. For når informationsteknologien bliver afgørende for forretningen og driften af virksomheden, så er det nødvendigt at teste alle nye softwarekomponenter og nyudviklinger. Modenhed, testprocesser og lignende kommer i fokus. Læs mere

Wihlborgs Konferencecenter - 2750 Ballerup







Computerworld
Sommeren bliver varm for danske film-pirater: Nu ruller retssagerne
Knap et år efter de første opkrævningsbreve for ulovlig fildeling blev sendt ud er antipirat advokaterne Opus Law på vej i retten.
CIO
"Over halvdelen af mine ledere i it-afdelingen er folk uden en it-baggrund"
Morten Gade landede et af Danmarks største it-projekter til tiden og uden skandaler. Hør ham fortælle om ledelse, tillid, kontraktstrukturer, og hvorfor hans it-ledere ofte ikke har en it-baggrund.
Comon
Test af 10-kernet entusiastprocessor: i7-6950X er et monster uden lige
Det her er den vildeste processor til entusiastiske forbrugere, men har du egentlig brug for så meget brutal kraft?
Channelworld
27 offentligt ansatte sigtet i stor razzia: Mistænkes for at have modtaget it-bestikkelse
Bagmandspolitiet har i stor aktion anholdt 26 it-folk for bestikkelse i forbindelse med den store bestikkelsessag i Region Sjælland. Udenrigsministeriet, DSB og Rigsadvokaten er blandt de ramte.
White paper
Tjekliste: 10 tegn på, at du har behov for at modernisere din Backup og Recovery løsning
Gennemgå denne tjekliste for at afgøre, om dit miljø har behov for en mere moderne tilgang til backup og recovery. Hvis ikke du kan tjekke nogen af disse af, kan det være tid til at revurdere din databeskyttelse strategi.