Loading

SSL / TLS encryptie

SSL. Die term gebruiken we al jaren voor beveiligingscertificaten die ingezet worden om de data tussen browser en server te versleutelen. Tegenwoordig wordt echter van de TLS technologie gebruikgemaakt, een verbeterde versie van zijn voorganger. Maar wat betekenen die termen nu precies en wat wordt er dan beveiligd?

SSL staat voor Secure Sockets Layer. In het kort is het de standaard technologie om een internetverbinding veilig te houden en (gevoelige) data te beschermen tussen twee systemen, om zo te voorkomen dat criminelen of andere kwaadwillenden deze informatie kunnen lezen of aanpassen. Deze twee systemen kunnen bijvoorbeeld een server en een webbrowser zijn (denk aan een webshop en uw internetbrowser zoals Chrome, Firefox of Microsoft Edge) of tussen twee verschillende servers (de server waar de webshop op draait en de payment provider die de betaling afhandelt).

SSL en encryptie

SSL zorgt ervoor dat de data die verstuurd wordt tussen de gebruiker en de website of tussen systemen wordt versleuteld en zo onleesbaar wordt gemaakt. Hiervoor worden encryptie-algoritmen gebruikt om de data zo te coderen dat anderen dit niet kunnen lezen wanneer het wordt verzonden. Deze informatie kan van alles zijn, het hoeft niet per se om gevoelige informatie te gaan, maar ook bijvoorbeeld creditcardinformatie of adresgegevens worden verzonden via zo’n verbinding. De wet eist dat persoonsgegevens ‘adequaat’ worden beveiligd tegen misbruik en ongeautoriseerde toegang. Veruit de meest gebruikte en gemakkelijkste oplossing om dit in te regelen is via het gebruik van een SSL (TLS) certificaat.

TLS, wat is dat?

TLS staat voor Transport Layer Security en is een verbeterde en veiligere versie van SSL. Wij noemen onze beveiligingscertificaten nog SSL omdat dit nog altijd de meestgebruikte term is. Maar wanneer u een SSL certificaat aanschaft, koopt u in werkelijkheid een TLS certificaat zodat u van de best beveiligde optie gebruikmaakt. Met de ontwikkeling van TLS zijn vele kwetsbaarheden die voorkomen in oude SSL protocollen verholpen en zijn nieuwe beveiligingsmechanismen toegevoegd.

Hoe werkt TLS precies? Wat er gebeurt als een browser TLS tegenkomt?

De handshake

Het proces waarbij een client en server een sleutel overeenkomen, wordt een handshake genoemd, omdat dit het moment is dat de twee partijen zich aan elkaar voorstellen. De handshake staat aan de basis van het TLS-protocol. Het is een complex proces met diverse mogelijke variaties, maar deze basistappen moeten je een idee geven van de werking:

•Een client benadert de server en vraagt een beveiligde verbinding aan. De server geeft aan welke cijfermodule - algoritmische toolkits voor het maken van versleutelde verbindingen - hij kent. De client vergelijkt dit met zijn eigen cijfermodules, selecteert er eentje en laat de server weten dat ze deze allebei zullen gebruiken voor het proces.

•De server levert vervolgens zijn digitale certificaat, een elektronisch document dat is uitgegeven door een third-party autoriteit waarmee de server zijn identiteit bevestigt. Het belangrijkste stukje informatie in het certificaat is de publieke sleutel van de server. De client verifieert de authenticiteit van het certificaat.

•Met de publieke sleutel in de hand stellen de client en server een sessiesleutel vast die ze allebei gaan gebruiken gedurende de rest van de sessie om communicatie te versleutelen. Daar zijn verschillende technieken voor. De client kan bijvoorbeeld de publieke sleutel gebruiken om een willekeurig getal te versleutelen die de server vervolgens moet ontsleutelen, waarna beide partijen dit getal gebruiken om de sessiesleutel te bepalen. De twee partijen kunnen ook een Diffie-Hellman key-exhange gebruiken om de sessiesleutel vast te stellen.

Wanneer vraagt men een SSL (TLS) certificaat aan?

Er kunnen verschillende redenen zijn om een certificaat voor een website aan te vragen en te gebruiken. Eerder werd al genoemd dat de wet eist dat persoonsgegevens worden beveiligd tegen misbruik. Omdat privacy ook online een belangrijk recht is, sturen de grote browsers op zoveel mogelijk gebruik van beveiligde verbindingen. Zo laten Chrome en Firefox inmiddels duidelijk zien wanneer een website geen SSL certificaat bevat. Daarnaast is Google al enige tijd bezig om een SSL certificaat onderdeel te laten zijn bij het bepalen van de plaats van de website in zoekmachineresultaten. Hoe groot deze ranking-factor is weet niemand (behalve Google zelf) maar het zegt genoeg over de prioriteit die ze aan met SSL (TLS) beveiligde websites geeft.

TLS-crimeware

Nog één laatste opmerking over TLS en beveiliging: de goeieriken zijn niet de enige die het gebruiken. Criminelen gebruiken TLS bijvoorbeeld om command-and-controlverkeer tussen de malware die ze bij slachtoffers hebben geïnstalleerd en hun C&C-servers te beveiligen. Dat draait de zaken om en zorgt ervoor dat juist de verdedigers op zoek moeten naar manieren om dit verkeer te onderscheppen. Er zijn verschillende manieren om met zo'n versleutelde aanval om te gaan, inclusief het uitlezen van metadata van het netwerk om te zien war aanvallers doen, zonder daadwerkelijk de inhoud van pakketjes uit te hoeven lezen.

veiligdigitaal.com

Historie

Bij het opzetten van een veilige verbinding onderhandelen de client en server tijdens de handshake over een gemeenschappelijk protocol ter beveiliging van het kanaal. Er zijn verschillende versies van SSL en TLS ontwikkeld; de meest recente versie is TLS 1.3.

SSL 1.0, 2.0 en 3.0

De eerste SSL 1.0 technologie is ontwikkeld door Netscape in 1994. Door ernstige beveiligingsproblemen is deze versie echter nooit gepubliceerd. In 1995 heeft Netscape SSL 2.0 gepubliceerd. De kwetsbaarheden van de vorige versie zijn hierin verbeterd, maar SSL 2.0 had nog steeds een aantal cryptografische zwakheden. Wederom door Netscape is in 1996 SSL 3.0 gepubliceerd, ontwikkeld door Paul Kocher. In deze versie werd het protocol volledig herschreven en alle beveiligingszwakheden hersteld. In 2014 is in SSL 3.0 wederom een ernstige zwakheid ontdekt.

PCT 1.0

Private Communications Technology (PCT) 1.0 is een protocol ontwikkeld door Microsoft in de jaren '90. PCT is ontworpen om beveiligingsfouten in Netscape's SSL 2.0 aan te pakken en Netscape te dwingen het eigendomsrecht en controle van het SSL protocol om te zetten naar een open standaard. PCT is inmiddels een achterhaald protocol en vervangen door SSLv3 en TLS. PCT werd tijdelijk nog ondersteund door Internet Explorer, maar de nieuwste versies ondersteunen PCT niet meer. Het PCT protocol staat nog steeds in IIS en de system library van Windows operating systems maar is standaard uitgeschakeld.

TLS 1.0

TLS 1.0 is in januari 1999 ontwikkeld als een upgrade van SSL 3.0 (beschreven in RFC 2246). Ondanks dat er geen grote verschillen zijn tussen TLS 1.0 en SSL 3.0, konden de protocollen niet samenwerken. Daarnaast was het met TLS 1.0 mogelijk een SSL 3.0 verbinding op te zetten, wat de beveiliging verzwakte. In 2011 is deze versie door Thai Duong en Juliano Rizzo gekraakt waarmee deze versie als veilig protocol onbruikbaar is geworden.

TLS 1.1

TLS 1.1 is in april 2006 gepubliceerd (beschreven in RFC4346). TLS 1.1 is een update en doorontwikkeling op versie 1.0. Deze versie biedt verschillende verbeteringen, zoals verbeterde beveiliging en afhandeling van errors. Ondanks de verbeterde functionaliteit wordt deze versie nog nauwelijks gebruikt.

TLS 1.2

TLS 1.2 is in augustus 2008 gepubliceerd (beschreven in RFC5246). TLS 1.2 is een doorontwikkeling van versie 1.1 met een aantal aanzienlijke verbeteringen waaronder:

•Gebruikte cryptografische hashes, die onveilig zijn gebleken, zijn vervangen door SHA-256.

•Verbeterde ondersteuning voor modernere encryptiemethoden uit de Advanced Encryption Standard.

•Fallback compatibiliteit met het onveilige SSL 2.0 verwijderd.

TLS 1.3

De ontwikkeling van TLS 1.3 is in maart 2018 voltooid en op 10 augustus 2018 is de Request for Change gepubliceerd. Het zal dus niet lang meer duren voordat we gebruik kunnen maken van TLS 1.3. Grote browsers zoals Chrome en Firefox ondersteunen het protocol al, respectievelijk vanaf versie 56 en 52. Echter ondersteunen de meeste webservers het nog niet. Zodra OpenSSL TLS 1.3 ondersteunt, zullen de meeste webservers het ook ondersteunen. TLS 1.3 is een doorontwikkeling van versie 1.2 met een aantal belangrijke verbeteringen, waaronder:

•Verhoogde snelheid, vergeleken met de vorige versie is er alleen één round-trip vereist.

•Verbeterde beveiliging, verouderde en onveilige functies zoals SHA1 en MD5 zijn verwijderd.

© 2019 Veilig digitaal

(bron: KPN, SSLcertificaten.nl)

Created By
Veilig Digitaal
Appreciate

Report Abuse

If you feel that this video content violates the Adobe Terms of Use, you may report this content by filling out this quick form.

To report a copyright violation, please follow the DMCA section in the Terms of Use.