Honderdduizenden sites straks geblokkeerd door browsers

6 maart 2020

Hoe veilig is een website wanneer het protocol dat de beveiliging moet garanderen, hopeloos is verouderd? Apple, Google, Mozilla en Microsoft - de bedrijven achter de belangrijkste browsers - vinden het nu genoeg geweest. 

Naar schatting gebruiken meer dan 850.000 websites die zich als 'veilig' presenteren met een https-verbinding, de verouderde versies 1.0 en 1.1 van het TLS-protocol dat voor die beveiliging moet zorgen. Deze versies waren in zwang in de periode 1996 t/m 2006. Inmiddels is duidelijk dat ze verschillende kwetsbaarheden bevatten die zijn gepubliceerd en misbruikt onder de codenamen BEAST, LUCKY 13, SWEET 32, CRIME en POODLE.

Nadat in 2018 de nieuwste versie van het TLS (1.3) beschikbaar is gekomen, hebben de vier grote browserproducenten al besloten dat ze de ondersteuning van de onveilige voorlopers begin 2020 zouden staken. Dat moment breekt nu aan.

Het gevolg is dat bezoekers van sites met het verouderde protocol een fullscreen-waarschuwing krijgen dat de pagina een zwakke encryptie gebruikt en dat informatie die naar de site gestuurd wordt, op straat kan komen te liggen. Het gaat niet alleen om obscure, niet meer onderhouden websites, zo meldt ZDnet op basis van onderzoek van Netcraft.

Snel updaten
 
Zeker 5000 van de sites die volgens Netcraft de oude TLS-versies gebruiken zijn sites die voorkomen op de Alexa lijst van meestbezochte sites. Het gaat onder meer om banken, overheden, nieuwssites, telecombedrijven, webwinkels en internetcommunities. Netcraft raadt websitebeheerders aan de configuraties van hun sites onmiddellijk te controleren en de TLS-versie te upgraden.

De Chrome-browser gaat deze meldingen laten zien na de installatie van de update die het versienummer naar 81 brengt. Deze update komt in maart. Dat geldt ook voor de update van Firefox naar versie 74. Eind april volgt Microsoft met een upgrade van Edge naar versie 82.

Meer informatie