SSL vs/of TLS beveiliging

Home » SSL Certificaten » SSL vs/of TLS beveiliging
SSL Certificaten, Technische informatie Geen reacties

SSL of TLS?

Een externe website beveiligen met een SSL (Secure Sockets Layer) of TLS (Transport Layer Security) Certificaat is een pré. Maar is het inzetten hiervan voldoende om de veiligheid van uw website te waarborgen? Nee! Onlangs is gebleken dat zelfs de laatste versie van SSL een lek bevat.

Niemand wil dat zijn creditcardnummer, login of persoonlijke informatie zichtbaar is op het internet. Dus deze gegevens, die via het internet of een netwerk worden verzonden, moeten vertrouwelijk worden behandeld. Veel organisaties gaan er vanuit dat ze met het inzetten van een SSL of TLS Certificaat voldoende beveiligd zijn… Een certificaat zorgt er natuurlijk voor dat de datastromen veilig over het internet gaan, maar er zijn verschillende encryptie protocollen die bovenop het certificaat werken en die risico’s voor de veiligheid met zich meebrengen. Lang niet iedereen is zich daarvan bewust.

Protocollen & versies

De encryptie protocollen SSL & TLS beschikken over verschillende versies, waarbij de laatste versie een betere bescherming biedt dan de versie ervoor. De uitgebrachte protocollen en versies zijn:

  1. SSL v2 is onveilig en wordt afgeraden.
  2. SSL v3 is inmiddels ook achterhaald, doordat deze een aantal belangrijke functies mist. In veel gevallen staat SSL v3 standaard aan, echter is op 15 oktober 2014 bekend geworden dat SSL v3 onveilig is en uitgeschakeld dient te worden vanwege de zogeheten “Poodle” exploit.
  3. TLS v1.0 is nog steeds veilig en de meest gebruikte encryptie versie. Toch zijn een aantal aanpassingen noodzakelijk.
  4. TLS v1.1 en v1.2 zijn momenteel de best beveiligde versies.

Al geruime tijd zijn TLS 1.1 en TLS 1.2 op de markt, toch worden deze vrijwel nooit toegepast. Wat is de reden hiervan? Deze versies eisen veel van de processor en het geheugen van bijvoorbeeld de Apache of IIS webserver wanneer het certificaat moet worden ontcijferd en gecodeerd.

Naast encryptie protocollen en versies zijn er verschillende logaritmes. Deze logaritmes bevatten gegevens hoe een certificaat moet worden gecodeerd of gedecodeerd. Ieder besturingssysteem/webbrowser beschikt over aan aantal van deze logaritmes. Een Windows XP gebruikt bijvoorbeeld andere logaritmes dan een Windows 8.1 machine. Veel ervan zijn gehackt, waardoor ze onveilig zijn. Het toepassen van deze logaritmes komt nog vaak voor en maakt websites zeer gevoelig voor hackers.

Citrix NetScaler MPX

Om gebruik te kunnen maken van de goede beveiliging van TLS 1.1 en TLS 1.2 kan de Citrix NetScaler MPX worden ingezet. De NetScaler heeft de beschikking over een chip die het SSL verkeer (de)codeert. Doordat de hardware beschikt over een eigen SSL chip worden de processor en het geheugen nooit belast met SSL verkeer. En door de webserver achter de Citrix NetScaler te plaatsen, is het mogelijk de webserver intern te laten communiceren op http. Hiermee voorkomt u dat de webserver SSL verkeer moet (de)coderen, waardoor met dezelfde hard- en software meer gebruikers gebruik kunnen maken van de website. De NetScaler is in veel gradaties te verkrijgen, denk aan verschillen in brandbreedte of de hoeveelheid SSL transacties per seconde. Zo is het ook al mogelijk om een 4096-bits certificaat in te zetten.

Een ander groot voordeel van een Citrix NetScaler MPX is het gebruiken van de Forward Secrecy methodiek. Forward Secrecy zorgt ervoor dat als een bepaalde sleutel uit een communicatiekanaal gecompromitteerd wordt, de voorgaande sleutels niet afgeleid kunnen worden. De voorgaande berichten zijn ook niet af te leiden en voor hackers wordt het een stuk moeilijker encryptie sleutels te bemachtigen.

Uiteraard zijn TLS 1.1 en TLS 1.2 te configureren op bijvoorbeeld IIS of Apache. Zoals gezegd kost dit veel rekenkracht waardoor de hardware extra zwaar moet worden uitgevoerd, denk aan extra geheugen en processoren.

Op SSL testsites kunt u de combinatie van SSL Certificaat, protocol, versies en logaritmes controleren, waarna een bepaalde rating gegeven wordt. Wanneer TLS 1.1 of TLS 1.2 niet ingeschakeld staan, wordt maximaal een B-rating behaald. Door het inzetten van de Citrix NetScaler MPX stijgt de ratio naar een A-status.

SHA1 versus SHA256

Alle huidige SSL certificaten worden geleverd met een zogeheten SHA1 logaritme digitale handtekening. Deze handtekening is onveilig, daarom hebben alle publieke SSL providers besloten deze om te zetten naar de SHA256 digitale handtekening. Momenteel is het bij het aanvragen van een certificaat nog mogelijk te kiezen tussen de SHA1 of de SHA256 handtekening. Per 1 januari 2016 kunnen alleen nog SSL certificaten met een SHA256 handtekening worden uitgeleverd. En vanaf 1 januari 2017 is de code signing niet meer te krijgen in SHA1 codering. De code signing is een cryptografische techniek waarmee de integriteit en authenticiteit van programmatuur kan worden gewaarborgd.

Is uw website met bovenstaande maatregelen voldoende beveiligd? Helaas niet in alle gevallen. Oudere apparatuur of verouderde besturingssystemen kunnen niet overweg met deze SHA256 handtekeningen. Hieronder is een overzicht te vinden welke systemen wel of niet geschikt zijn:

Dit houdt dus in dat verouderde apparatuur of verouderde besturingssystemen moeten worden geüpgraded of vervangen voor 1 januari 2016.

Het is daarom aan te raden zo spoedig mogelijk de overstap te maken naar SHA2 certificaten. Deze certificaten zorgen voor meer veiligheid, aangezien de codering minder hackgevoelig is. Daarnaast gaan browsers gebruikers informeren wanneer de bezochte website een SHA1 certificaat bevat.

Hoe over te stappen

1) Genereer een nieuwe private key.
2) Genereer met deze private key een certificate request.
3) Stuur dit certificate request op naar ons op en geef aan dat u een SHA2 certificaat wilt hebben. U kunt ons contact opnemen via info@solutions4hosting.nl.
4) Wij sturen u een certificaat terug.
5) Koppel dit certificaat samen met de private key aan de serverkant.
6) Controleer of het inderdaad gaat om een SHA2 certificaat.

Helpdesk

Komt u ergens niet uit en heeft u hulp nodig of heeft u vragen? Neemt u gerust contact met ons op per e-mail (info@solutions4hosting.nl). Wij helpen u graag verder!