Onveilige SSL versies uitschakelen

De encryptieprotocollen Secure Sockets Layer (SSL) en de opvolger Transport Layer Security (TLS) beveiligen de communicatie op het internet. SSL versie 1 en 2, SSLv2 en SSLv3 zijn inmiddels onveilig. Zet SSLv2 en SSLv3 daarom uit in je server configuratie zodat alleen de nieuwere TLS protocollen gebruikt kunnen worden.

SSLv2

SSL versie 2 is sinds 1995 niet meer standaard. Hoewel het nog door een aantal legacy-producten wordt ondersteund, staat het meestal gedeactiveerd. Inmiddels heeft het TLS protocol SSL opgevolgd. Als er nog gebruik gemaakt wordt van SSLv2 is het sterk aan te bevelen deze te vervangen door een nieuwer beveiligingsprotocol, aangezien SSLv2 een aantal ernstige tekortkomingen heeft.

De belangrijkste redenen voor de onveiligheid van SSLv2 zijn:

  • Het gebruikte algoritme is te zwak: SSLv2 berichtauthenticatie gebruikt MD5, dat te gemakkelijk te kraken is.
  • De handshake wordt niet beschermd, dus er is geen bescherming tegen een zogeheten 'Man-In-The-Middle' aanval.
  • Er wordt gebruik gemaakt van dezelfde sleutel voor zowel authenticatie als versleuteling.
  • Er is geen bescherming tegen het ongewenst afsluiten van TCP-verbindingen door derden (vanwege het TCP FIN commando).

SSLv3

In het encryptieprotocol SSLv3 is in 2014 een lek ontdekt, ook wel de POODLE bug genoemd. Ondanks dat deze versie al ruim 15 jaar oud is, wordt het protocol door vele browsers en servers nog ondersteund. Het lek maakt het voor hackers mogelijk verkeer te onderscheppen en te lezen. Om dit te voorkomen kunt u op uw server én in uw browser het gebruik van SSL 3.0 uitschakelen.

Uitschakelen onveilige SSL versies

De stappen voor het uitschakelen van onveilige SSL protocollen verschillen per webserver:

SSLCheck

De SSLCheck controleert of je certificaat goed op je server is geïnstalleerd en of er mogelijke problemen zijn.