HTTPS met TLS 1.0 gekraakt
dinsdag, september 20th, 2011Er is een lek in de SSL opvolger TLS 1.0 gevonden en gedemonstreerd dat cookies gestolen konden worden.
Dit betekent dan SSL/TLS alleen nog maar met SSL 3.0 veilig is onder Firefox omdat TLS 1.1 en 1.2 nog steeds niet ondersteunt worden. SSL 3.0 is ook onveilig.
Onder Internet Explorer8 en hoger kan het wel maar je moet het wel even zelf aanzetten om het veilig TLS 1.1 en 1.2 te kunnen gebruiken.
Opera en en google chrome zijn veilig want zijn gebruiken TLS 1.1 en TLS 1.2 standaard al.
De instellingen voor internet explorer onder Internetopties, tab: Geavanceerd moet dan als volgt ingetelt zijn voor een veilig versleutelt internet.
De meeste webserver ondersteunen echter nog steeds geen TLS 1.1 en hoger vandaar dat we TLS 1.0 voor nu nog aanlaten. Deze webserver ondersteunt wel al TLS 1.2 en TLS 1.1 met mod_gnutls.
Let verder ook op welke Certificate Authority(afgekort: CA) het certificaat uitgegeven heeft. Als dit het failliete Diginotar is dan kan de verbinding afgeluisterd worden.