‘ISP’s zouden TLS 1.2 tot standaard moeten verheffen’

Begin deze maand vonden twee Britse onderzoekers een kwetsbaarheid in het TLS-protocol, die ze omschrijven als de ‘lucky thriteen’-methode. Wij vroegen Paul van Brouwershaven (Globalsign) en Niels Veenstra (Networking4all) naar hun kijk op de zaak.

Niels Veenstra

Niels Veenstra

Bekend probleem
Beide experts geven aan de kwetsbaarheid te kennen. “Eerder in 2007 is een soortgelijk onderzoek over het TLS-protocol geweest en daar kwamen ongeveer dezelfde resultaten uit,” vertelt Veenstra. “Dus erg geschokt of verrast ben ik niet. Het probleem was immers al bekend. Mede vanwege deze reden is de industrie bezig met het oplossen van deze problemen en het vernieuwen van de protocollen.”

Tot nu toe onmogelijk
“De onderzoekers hebben zich de uitdaging gesteld om een tijdsverschil van microseconden op een antwoord,” legt van Brouwershaven uit. “Dat klinkt gemakkelijk maar hierbij moeten we rekening houden met de vertraging op het netwerk of het internet. Iets wat tot nu toe als onmogelijk werd beschouwd.”

Alleen effectief in kern netwerk
De resultaten van dit onderzoek en de bevindingen van de onderzoekers zijn volgens Veenstra niet zo schadelijk als wordt gesteld. “De methode die de onderzoekers hebben gebruikt is alleen effectief als de kwaadwillende zich dichtbij of in de kern van het netwerk bevinden. De laadtijd is daar in dit geval echter veel te lang voor. Het kan wel schadelijk voor de veiligheid zijn wanneer het interne netwerk niet goed beveiligd is. Bijvoorbeeld in een open wifi verbinding. Maar dat staat los van deze hack-poging omdat het hier om een hack-poging ging in combinatie van een man-in-the-middle aanval.”

Paul van Brouwershaven

Paul van Brouwershaven

Patchen
Op dit moment lijkt het van Brouwershaven dan ook zeer onwaarschijnlijk dat deze bug ook echt misbruikt zal gaan worden. “Maar dat wil niet zegen dat we nu geen patches hoeven te installeren. Dit is dan ook het voornaamste probleem. Uit cijfers van SSL Pulse van de Trustworthy Internet Movement blijkt bijvoorbeeld dat nog steeds veel websites niet goed geconfigureerd zijn en bijvoorbeeld zwakke ciphers accepteren of kwetsbaar zijn voor de BEAST/CRIME-aanvallen.”

Updaten
OpenSSL komt binnenkort met een patch die deze methode moet tackelen. “Bedrijven moeten de servers updaten met deze patch en internetgebruikers dienen hun internetbrowser te updaten waardoor deze update automatisch wordt meegenomen,” geeft Veentra aan.

Onderzoek is goed
“Het SSL protocol is bijna 20 jaar oud,” vertelt van Brouwershaven. “Het was altijd al het belangrijkste beveiliging protocol op het internet. In de afgelopen jaren is het alleen nog maar belangrijker geworden, omdat we steeds meer gegevens over het internet versturen. Het is op zich dus ook niet gek dat hier meer onderzoek naar wordt gedaan en dus ook meer problemen in worden gevonden. Ik vind het een goede ontwikkeling dat er zoveel zeer slimme mensen zich bezig houden met het vinden van fouten om zo de protocollen alleen maar veiliger te maken.”

TLS 1.2
Al in 2008 werd TLS 1.2 op de markt gebracht en in 2011 werd deze versie verder geoptimaliseerd en verfijnd. “Waarom blijven we stug volhouden met TLS 1.0?” vraagt Veenstra zich af. “In mijn ogen kunnen we beter TLS 1.2 de standaard maken. De Internet Service Providers zijn hier verantwoordelijk voor en zij kunnen dit verzorgen voor hun klanten. Dit zou een aandachtspunt voor de toekomst moeten zijn.”

Code
Van Brouwershaven wil iedereen adviseren om de volgende regels nog vandaag in hun Apache-configuratie te plaatsen:

SSLProtocol -ALL +SSLv3 +TLSv1
 SSLCipherSuite ECDHE-RSA-AES128-SHA256:AES128-GCM-SHA256:RC4:HIGH:!MD5:!aNULL:!EDH
 SSLHonorCipherOrder on

“Of deze regels wanneer er gebruik gemaakt wordt van NGINX,” zegt hij.

ssl_protocols SSLv3 TLSv1 TLSv1.1 TLSv1.2;
 ssl_ciphers ECDHE-RSA-AES128-SHA256:AES128-GCM-SHA256:RC4:HIGH:!MD5:!aNULL:!EDH;
 ssl_prefer_server_ciphers on;

About the author

Avatar

ISP Today is het Nederlandstalige platform voor de Internet Service Providers in Nederland. We presenteren nieuws van redactionele kwaliteit met relevantie voor de Nederlandse ISP community. Internet Service Providers en met name de mensen daarachter staan centraal op ISP Today.