NetCare logo

Fix SSL Lek

Fix SSL Lek

Op 07-04-2014 is een lek bekend gemaakt in Open SSL. Deze software wordt door de meeste websites gebruikt om verkeer te versleutelen (https ipv http). Deze keer zonder man in de middle attack en maakt het daarmee breder toepasbaar voor hackers.

Webwereld schrijft hier een enigszins dramatisch artikel over Zeer kritiek gat in OpenSSL lekt sleutels Op zich is het artikel correct en het is ook serieus issue, alleen het nieuwe lek is enerzijds relatief makkelijk te dichten, ook zonder patch. Anderzijds zijn er meerdere manieren om aan de private sleutel te komen, ook voor dit lek bekend was. 

Het is dus op te lossen en dit artikel richt zich dan ook op webmasters die nu op zoek zijn naar de update, die helaas nog niet beschikbaar is in de grote linux releases. Het vereist namelijk open-ssl v1.01g en momenteel is de laatst versie in de meeste distributies v1.01e.

De oplossing is het aanzetten van forward secrecy, ook wel perfect forward secrecy (pfs) genoemd. Ook wordt hiermee meteen de key strength verbeterd.

Apache:  Wijzig ssl.conf (meestal in /etc/httpd/conf.d/ssl.conf) of direct in httpd.conf 

SSLProtocol all -SSLv2 -SSLv3
SSLHonorCipherOrder On
SSLCipherSuite EECDH+AES:EDH+AES:-SHA1:EECDH+RC4:EDH+RC4:RC4-SHA:EECDH+AES256:EDH+AES256:AES256-SHA:!DH:!aNULL:!eNULL:!EXP:!LOW:!MD5

Nginx:

ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_prefer_server_ciphers on;
ssl_ciphers "EECDH+ECDSA+AESGCM EECDH+aRSA+AESGCM EECDH+ECDSA+SHA384 \
EECDH+ECDSA+SHA256 EECDH+aRSA+SHA384 EECDH+aRSA+SHA256 EECDH+aRSA+RC4 \
EECDH EDH+aRSA RC4 !aNULL !eNULL !LOW !3DES !MD5 !EXP !PSK !SRP !DSS !DH";

Als je virtual hosts gebruikt, kan het dat je het statement op moet nemen in de virtual host sectie van de server die je wilt beschermen, afhankelijk van je huidige configuratie. 

Vervolgens kun je de SSL security testen met de volgende site SSLlabs

Deze zal een opmerking maken over het gebruik van RC4 dat niet volledig veilig is vanwege een wat zwakke encryptie methode. Dit duidt niet op het feit dat je keys makkelijk kunnen worden gekaapt. RC4 kan je dus eventueel nog uitzetten, maar daarmee zorg je er ook voor dat een behoorlijk aantal apparaten niet meer kan connecten. Dit is echter wel te adviseren voor bedrijven waar de encryptie methode extreem belangrijk is zoals banken, overheden en instellingen die met zeer gevoelige informatie werken. 

Gerard Kanters

Gerard Kanters

Directeur van NetCare
Functie omschrijving

Als ondernemer werk ik met een team van jonge ontwikkelaars om nieuwe produkten te ontwikkelen en projecten uit te voeren. We vinden niet zomaar alles leuk, maar worden vooral enthousiast als het...

    • Gerard Kanters
      Gerard Kanters

      Aanvulling: 

      Om te controleren of jouw website of een website die je vertrouwd en belangrijke gegevens van je bewaard gecompromiteerd kan zijn gebruik dit handige tooltje http://filippo.io/Heartbleed/ 

      Mocht de site niet veilig zijn, laat deze dan links liggen totdat het opgelost is. Informeer ook de beheerder of support teams over het heartbleed issue. Het is absoluut aan te bevelen uw wachtwoord te veranderen nadat het probleem is verholpen en helaas is niet te garanderen dat uw gegevens niet in handen zijn gekomen van anderen, omdat dit probleem twee jaar lang heeft bestaan.

      Meer hulp nodig, zoals controle van mogelijk gecompromiteerde sites op malware, rootkits of gegevens diefstal. Neem dan contact op. 

      • Gerard Kanters
        Gerard Kanters

        De meeste grote Linux distro's hebben nu gepatchte versie van open-ssl waar de heartbeat optie uit is gehaald. Update uw systeem dus vandaag nog. Verder blijft het advies om PFS te gebruiken van kracht.