SSL/TLS best practices whitepaper & onderzoeksrapport

Transport Layer Security (TLS), vaak nog Secure Sockets Layer (SSL) genoemd, is een protocol dat cryptografisch beveiligde verbindingen tussen twee computersystemen faciliteert. TLS wordt voor een brede waaier aan verschillende toepassingen gebruikt: van web (HTTPS) en e-mail (STARTTLS voor IMAP, POP3 en SMTP) tot Voice-over-IP (VoIP) en Virtual Private Network (VPN) verkeer. TLS beschermt de communicatie tussen client en server om de vertrouwelijkheid en integriteit van gevoelige informatie te garanderen. TLS vormt hiermee de ruggengraat van veilige communicatie over internet en het gebruik van versleutelde verbindingen is in sommige gevallen dan ook verplicht binnen sommige organisaties en bedrijfssectoren.

In de afgelopen jaren zijn er verschillende kwetsbaarheden in zowel bepaalde versies van het TLS protocol als specifieke implementaties daarvan ontdekt [1,2,3] en hebben we gezien hoe serieus de gevolgen van aanvallen op zowel de onderliggende infrastructuur [4,5] als TLS-servers zelf [6,7] kunnen zijn. Daarom heeft LeakFree een onderzoek uitgevoerd naar de staat van TLS beveiliging bij een groot aantal prominente publieke Nederlandse webservers.

Uit het onderzoek is te concluderen dat de veiligheid van TLS configuraties in de Nederlandse context op veel vlakken nog te kort schiet. De grootste problemen lijken te liggen bij het percentage van servers dat geen enkele of onveilige (in de vorm van ongeldige of self-signed certificaten) ondersteuning voor TLS biedt. Ten tweede springt ofwel nodeloze backwards compatibility, ofwel gebrekkig regelmatig onderhoud in het oog. Het gevolg hiervan is een te groot percentage servers dat kwetsbaar is voor verschillende (vaak al geruime tijd bekende) kwetsbaarheden. Met name BEAST, POODLE (in SSL en TLS variant) en CVE-2014-0224 kwamen in alle onderzochte sectoren terug. Als laatste wordt vrijwel nergens ondersteuning geboden voor extra veiligheidsmaatregelen zoals HSTS, secure cookies, forward secrecy of downgrade prevention. Het lijkt er echter wel op dat ernstige kwetsbaarheden met veel media aandacht uiteindelijk verholpen worden, zoals blijkt uit het feit dat geen enkele van de geteste servers meer kwetsbaar was voor HEARTBLEED.

Om systeembeheerders, beveiligings- en andere IT professionals tegemoet te komen heeft LeakFree een gratis te downloaden TLS best practices whitepaper ter beschikking gesteld. Het goed, efficient en veilig opzetten van TLS configuraties vereist specialistische kennis en is vaak maatwerk. Contact met een security professional wordt dan ook aangeraden om de veiligheid van uw communicatie en computersystemen te waarborgen.

Het gehele rapport is hier te downloaden: https://www.leakfree.nl/files/leakfree_ssl_tls_onderzoek.pdf

Het ‘TLS best practices’ whitepaper is hier te downloaden: https://www.leakfree.nl/files/leakfree_ssl_tls_whitepaper.pdf

Advertisements