Overslaan en naar de inhoud gaan

Ondersteuning OpenSSL versie 1.1.1 eindigt over enkele weken

  • Na 11 september komen er geen updates meer voor OpenSSL 1.1.1.
  • Nieuw gevonden kwetsbaarheden voor versleutelde netwerkverbindingen blijven dan aanwezig
  • Advies Digital Trust Center: controleer of je moet upgraden
  • Lees ook: Patchen blijft een uitdaging. Maar waarom?
Computer met een alarm-logo
Datalek, hack

De ontwikkelaars van OpenSSL, populaire software voor het versleutelen van netwerkverbindingen, stoppen op 11 september 2023 met het ondersteunen van OpenSSL versie 1.1.1. Er komen na die datum geen updates meer om kwetsbaarheden of fouten te verhelpen.

Het Digital Trust Center (DTC) raadt daarom bedrijven aan om te controleren of gebruik wordt gemaakt van het verouderde OpenSSL versie 1.1.1, zo meldt het in een persbericht. DTC raadt aan te upgraden naar OpenSSL versie 3.0 of 3.1.

Ernstige kwetsbaarheden in software die de versleuteling verzorgt, kunnen de vertrouwelijkheid van informatie schaden. “Denk hierbij aan de kwetsbaarheid die bekend staat als Heartbleed die in 2014 aan het licht kwam en het mogelijk maakte om gevoelige informatie te stelen”, aldus DTC.

Software zoals OpenSSL staat vaak direct in verbinding met het internet waardoor aanvallers kwetsbaarheden makkelijker op afstand kunnen misbruiken. “Het is daarom belangrijk om gebruik te maken van softwareversies die nog ondersteund worden want deze worden voorzien van beveiligingsupdates.”

Niet eenvoudig

DTC raadt bedrijven aan om na te gaan of OpenSSL onderdeel is van een besturingssysteem en of het verwerkt zit in andere bedrijfssoftware, firewalls, NAS-systemen en VPN-oplossingen. “Door deze verwevenheid is het niet altijd eenvoudig om dat na te gaan.”

Complexiteit van software(bibliotheken) die verweven zitten in andere software, kwam in 2021 aan het licht bij de Apache Log4J kwetsbaarheid. Een jaar later speelde dit ook bij een kwetsbaarheid in OpenSSL genaamd SPOOKYSSL. Het Nationaal Cyber Security Centrum (NCSC) stelde destijds een lijst samen met software waar op dat moment OpenSSL in verwerkt zat. De uitgebreide maar niet volledige lijst geeft goed de populariteit en de complexiteit weer.

Reacties

Om een reactie achter te laten is een account vereist.

Inloggen Word abonnee

Bevestig jouw e-mailadres

We hebben de bevestigingsmail naar %email% gestuurd.

Geen bevestigingsmail ontvangen? Controleer je spam folder. Niet in de spam, klik dan hier om een account aan te maken.

Er is iets mis gegaan

Helaas konden we op dit moment geen account voor je aanmaken. Probeer het later nog eens.

Maak een gratis account aan en geniet van alle voordelen:

Heb je al een account? Log in

Maak een gratis account aan en geniet van alle voordelen:

Heb je al een account? Log in