SSLv3 protocol kwetsbaar voor aanvallen

Zoals u misschien al uit de media heeft vernomen is het SSL-protocol versie 3 (“SSLv3″) kwetsbaar voor zogenoemde man-in-the-middle (MITM) aanvallen. U dient daarom actie te ondernemen om uw gegevens goed te beschermen. 

Vannacht is door Google deze kwetsbaarheid in het protocol gepubliceerd. Het protocol SSL versie 3 is een protocol welke gebruikt wordt bij beveiligd HTTPS-verkeer. In het verleden is een soortgelijke kwetsbaarheid in het SSL-protocol versie 2 voorgekomen, de code die hier destijds misbruik van maakte heette BEAST. Hier is daarna massaal ondersteuning voor SSLv2 uitgeschakeld.

Zonder u te vermoeien met de technische details van de kwetsbaarheid in SSLv3, dient u wel actie te ondernemen om uw gegevens goed te beschermen. De hoogste prioriteit is namelijk uw gegevens veilig over het internet te sturen!

Wat dient u te doen om uw gegevens te beveiligen? Verander de instellingen van uw browser, zodat SSL 3.0 (en 2.0) niet meer gebruikt worden.

Hieronder leggen wij u uit hoe u dit voor een aantal browsers doet:

Internet Explorer
In Internet Explorer kunt u eenvoudig de SSL-versies die u niet wilt gebruiken uitvinken. U vindt dit bij de Internet Opties, onder het tabblad Geavanceerd:

- ga naar Internet Options
- ga naar the tab Advanced
- deselecteer Gebruik SSL 2.0
- deselecteer Gebruik SSL 3.0

U houdt dan TLS 1.0, TLS 1.1 en TLS 1.2 over. Herstart uw browser na deze wijzigingen.

Mozilla Firefox
Als u Mozilla Firefox gebruikt dan kunt u in de Firefox-configuratie de gewenste SSL- en TLS-versies opgeven. Hiervoor typt u in de adresbalk: about:config en drukt u op enter. Nadat u akkoord bent gegaan met de melding dat u voorzichtig zult zijn, zoekt u naar security.tls.version.min en security.tls.version.max. Hiermee geeft u de minimale en maximale TLS-versie aan. De waarden kunnen zijn:

- 0, staat voor SSL 3.0
- 1, staat voor TLS 1.0
- 2, staat voor TLS 1.1
- 3, staat voor TLS 1.2

Verander security.tls.version.min naar 1, door hier eerst op te dubbelklikken. Verander security.tls.version.max naar 3 als dit nog niet ingesteld is. Wij raden u ook aan om de plugin SSL Version Control te installeren.

Google Chrome
Google Chrome is helaas een vreemde eend in de bijt. Door een bug in de gebruikersinterface van Chrome kunt u de SSL- en TLS-versies niet beheren via de Chrome Instellingen. U moet hiervoor de snelkoppeling van chrome.exe aanpassen, want deze kent parameters. De parameters –ssl-version-min en –ssl-version-max bepalen de minimale en maximale SSL- of TLS-versie.

De snelkoppeling zal verwijzen naar:
- "C:\Program Files (x86)\Google\Chrome\Application\chrome.exe“

Verander de Chrome-snelkoppeling in:
- "C:\Program Files (x86)\Google\Chrome\Application\chrome.exe" --ssl-version-min=tls1--ssl-version-max=tls1.2

Chrome gebruikt dan alleen nog TLS-versies 1.0, 1.1 en 1.2.

U doet dit door met de rechter muisknop te klikken op de snelkoppeling en via de Eigenschappen > snelkoppeling past u eenvoudig het doel aan.

SSLv3 bij Robiz Webdesign & Webhosting
Uiteraard hebben wij maatregelen genomen om de serverkant te beveiligen tegen deze kwetsbaarheid in het SSLv3-protocol.

Heeft U interesse of vragen?