Peters Blog

on Security and More

SSL/TLS

5/Dec 2014 By P. Peters
Internet Access Facilities Achterkrant security

*Dit was het jaar van SSL/TLS. Er waren dit jaar meer zaken rondom SSL/TLS dan enig ander jaar dat ik me kan herinneren. In de Achterkranten van mei, juli en november heb ik het gehad over kwetsbaarheden in diverse libraries en protocollen. Ik zou deze maand een vergelijkbaar stuk kunnen schrijven, maar dan over een andere veelgebruikte library, namelijk die van Microsoft. In november bleek die, al bijna 20 jaar, kwetsbaar te zijn. En dan heb ik het nog niet eens gehad over GnuTLS, een library vergelijkbaar met OpenSSL.

Schannel

Terwijl OpenSSL en GnuTLS voornamelijk werden gebruikt in de Open Source wereld, was Schannel de variant van Microsoft. Schannel werd gebruikt door zo’n beetje alle applicaties van Microsoft zelf en ook door veel andere applicaties op een Windows platform. Applicaties, zoals Apache, die ook op Linux beschikbaar waren, gebruikten wel vaak een OpenSSL library. Eigenlijk toont dit maar weer eens aan dat het niet zo zeer uitmaakt of software gesloten of open is. In beide varianten kunnen kwetsbaarheden 10, 15 jaar of langer onopgemerkt blijven. Het feit dat OpenSSL en GnuTLS dit jaar kwetsbaar waren, heeft bepaalde personen getriggerd om ook de software van Microsoft nader te onderzoeken. Daar ga ik tenminste van uit. Er is verder niets bekend gemaakt, maar in de praktijk zie je wel vaker dat er extra aandacht is voor vergelijkbare software.

Sponsoring

De kwetsbaarheid in OpenSSL heeft wel een ander probleem naar voren gebracht t.a.v. Open Source. OpenSSL werd maar door een paar personen onderhouden. Het werd echter wel gebruikt in systemen en software van bedrijven die miljoenen en miljarden per jaar verdienen aan die systemen en software. Geld voor de ondersteuning van Open Source ontwikkelaars kan er dan weer niet vanaf.

In dat opzicht ben ik blij dat er toch een aantal organisaties zijn die zich bezig houden met de sponsoring van Open Source ontwikkeling. Een groot deel komt van NLnet Labs. Dat lab is opgezet met geld dat is verkregen toen de Stichting NLnet haar netwerk en provider dienstverlening verkocht. Dat was vorige eeuw, maar nog steeds zit er genoeg geld in kas om mee te helpen aan het verbeteren van internetdiensten, -software en -protocollen. Het is natuurlijk niet alleen geld uit die tijd. NLnet Labs is ook een zeer geschikte organisatie om geld aan te doneren als je Open Source en internet een warm hart toedraagt.

SSL of TLS

Iedereen heeft het over SSL, niet over SSL/TLS en al helemaal niet over TLS. Nu met het wereldwijd uitschakelen van v3 het SSL protocol in feite dood is, zou men moeten gaan spreken over TLS zonder nog te refereren aan SSL. Ik zal proberen dat te gaan doen, maar ik betwijfel of dat algemeen gebruikelijk gaat worden. Misschien als er een nieuwe generatie op internet komt, die de perikelen met SSL niet kent. Het zal zeker helpen als meer en meer websites voornamelijk versleuteld verkeer uitwisselen. Waarbij de websites zich kunnen onderscheiden door TLS 1.2 te ondersteunen i.t.t. sites die niet verder komen dan 1.1 of zelfs maar 1.0.

Terwijl SSL nog veel in het spraakgebruik voor websites terug te vinden is, is dat bij andere protocollen minder het geval. Daar wordt veel gebruik gemaakt van STARTTLS. Dat is een manier voor server en client om aan te geven dat de initiele verbinding dan wel onversleuteld is, maar dat ze willen starten met het gebruik van TLS voor de rest van de verbinding. Je ziet het meestal bij SMTP, het afleveren van mail. Andere mailprotocollen, zoals IMAP en POP3, gebruiken een aparte poort voor versleutelde verbindingen. Dat heeft als voordeel dat je aan kunt geven dat je, zoals bij Exchange, alleen maar een versleutelde verbinding accepteert. Je accepteert gewoon geen verbinding op de onversleutelde poort.

Versleutelen of niet?

Het probleem met versleutelen is natuurlijk wel dat het extra capaciteit vraagt van de server en de client. Het starten van een verbinding kan zo een halve seconde langer duren, omdat er flink wat afgesproken moet worden tussen server en client over welke versleutelingen op welke wijze die gebruikt moet worden. Servers worden steeds sneller. Clients, zelfs smartphones, worden sneller. Wat nog wel steeds een bottleneck is, is de verbinding. Ja, de bandbreedte gaat omhoog. Maar veel van de tijd aan het begin van een sessie gaat zitten in het wachten op antwoord van de andere kant. Als die andere kant in een ander continent zit, wordt het niet sneller of je eigen verbinding 1 Mbps of 1 Gbps is en of de verbinding over de oceaan 10 Gbps of 100 Gbps is.

Niet dat ik beweer dat een hogere snelheid geen zin heeft. Nee, natuurlijk niet. Webpagina's worden steeds groter. Filmpjes krijgen een steeds hogere resolutie. Als de verbinding eenmaal is gerealiseerd, dan zorgt het TCP/IP protocol er wel voor dat alles zo snel mogelijk wordt verstuurd. En als het versleuteld moet worden, zijn clients en servers snel genoeg om dat ook bij te houden.

2015

Wat staat ons in 2015 allemaal weer te wachten? Ik weet dat we voorlopig klaar zijn met SSL en waarschijnlijk ook met TLS. De komende tijd wordt er misschien gewerkt aan het uitbreiden van de methoden waarmee versleuteld wordt. Als servers voor het versleutelen sneller worden, dan worden ook de servers van de aanvallers zoals criminelen en veiligheidsdiensten, waarmee ze de verbindingen proberen te ontsleutelen, sneller.

IAF wenst u in ieder geval een veilig en gezond 2015 en we hopen dat u zult genieten van de feestdagen en dat we u volgend jaar weer net zo van dienst kunnen zijn als dit jaar.

Disclaimer

Dit artikel is eerder gepubliceerd als een officiële Achterkrant voor Internet Access Facilities.

More Reading
Newer// Twintig jaar
Older// Rommelig

Copyright; 1995 - 2015 Peter Peters. All rights Reserved.