HTTPS met TLS 1.0 gekraakt

Er is een lek in de SSL opvolger TLS 1.0 gevonden en gedemonstreerd dat cookies gestolen konden worden.
Dit betekent dan SSL/TLS alleen nog maar met SSL 3.0 veilig is onder Firefox omdat TLS 1.1 en 1.2 nog steeds niet ondersteunt worden. SSL 3.0 is ook onveilig.
Onder Internet Explorer8 en hoger kan het wel maar je moet het wel even zelf aanzetten om het veilig TLS 1.1 en 1.2 te kunnen gebruiken.
Opera en en google chrome zijn veilig want zijn gebruiken TLS 1.1 en TLS 1.2 standaard al.
De instellingen voor internet explorer onder Internetopties, tab: Geavanceerd moet dan als volgt ingetelt zijn voor een veilig versleutelt internet.
aanbevolen instellingen
De meeste webserver ondersteunen echter nog steeds geen TLS 1.1 en hoger vandaar dat we TLS 1.0 voor nu nog aanlaten. Deze webserver ondersteunt wel al TLS 1.2 en TLS 1.1 met mod_gnutls.
Let verder ook op welke Certificate Authority(afgekort: CA) het certificaat uitgegeven heeft. Als dit het failliete Diginotar is dan kan de verbinding afgeluisterd worden.

Tags: gerelateerd: Ernstige PDF en Java lekken, Limewire moet 354 miljoen euro boete betalen, Firefox 4.0 beta1 is uitgegeven, dinsdag, september 20th, 2011 om 15:20 • IT nieuwsRSS 2.0 feed Reageren en pingen is niet toegestaan.