Den Haag,
Op 11 september 2023 stoppen de ontwikkelaars van OpenSSL met het ondersteunen van OpenSSL versie 1.1.1. Daarmee bereikt deze versie de End-of-Life status; er komen geen updates meer om eventuele kwetsbaarheden of andere fouten te verhelpen. Het Digital Trust Center raadt bedrijven aan om te controleren of gebruik wordt gemaakt van het verouderde OpenSSL versie 1.1.1. Aangeraden wordt om te upgraden naar OpenSSL versie 3.0 of 3.1.
OpenSSL
OpenSSL is één van de meest gebruikte software(bibliotheken) om versleuteling toe te passen. Het wordt vooral gebruikt voor het versleutelen van netwerkverbindingen. Een bekende vorm van versleuteling is https:// bij websites. Dit zorgt ervoor dat de datacommunicatie tussen twee computers met een https-verbinding versleuteld is en niet kan worden ingezien door een derde partij.
Risico’s
Versleuteling zorgt ervoor dat de confidentialiteit en integriteit van systemen en informatie kan worden gewaarborgd. Ernstige kwetsbaarheden in software die de versleuteling verzorgt, kunnen deze waarborgen aantasten. Denk hierbij aan de kwetsbaarheid die bekend staat als Heartbleed die in 2014 aan het licht kwam en het mogelijk maakte om gevoelige informatie te stelen. Daarnaast staat software zoals OpenSSL vaak direct in verbinding met het internet waardoor aanvallers kwetsbaarheden makkelijker op afstand kunnen misbruiken. Het is daarom belangrijk om gebruik te maken van softwareversies die nog ondersteund worden want deze worden voorzien van beveiligingsupdates.
Gebruik
OpenSSL kan onderdeel uitmaken van een besturingssysteem en ook verwerkt zitten in andere bedrijfssoftware, Firewalls, NAS-systemen en VPN-oplossingen. Door deze verwevenheid is het niet altijd eenvoudig om na te gaan of binnen een organisatie gebruik wordt gemaakt van OpenSSL en welke versie gebruikt wordt.
De complexiteit van software(bibliotheken) die verweven zitten in andere software, kwam in 2021 aan het licht bij de Apache Log4J kwetsbaarheid. Een jaar later speelde dit ook bij een kwetsbaarheid in OpenSSL genaamd SPOOKYSSL. Het Nationaal Cyber Security Centrum (NCSC) heeft toen samen met partners een lijst samengesteld met software waar op dat moment OpenSSL in verwerkt zat. De uitgebreide maar niet volledige lijst geeft goed de populariteit en de complexiteit weer.
Wat kunnen software-ontwikkelaars zelf doen?
Ontwikkel die gebruik maken van OpenSSL moeten controleren of ze gebruik maken van een nog ondersteunde versie van OpenSSL. Als dit niet het geval is, wordt aangeraken deze versie te vervangen. Is vervangen (nog) geen mogelijkheid dan is er een mogelijkheid om tegen betaling uitgebreide support af te nemen.
- OpenSSL versie 3.0 wordt ondersteund tot 15 september 2026;
- OpenSSL versie 3.1 wordt ondersteund tot 14 maart 2025.
Ook bij ondernemers die geen software ontwikkelen is de kans nog steeds aanwezig dat ze producten of diensten gebruiken waar OpenSSL in verwerkt zit. Het is aan de leverancier van deze producten of diensten om noodzakelijke updates of upgrades door te voeren.
Het is van belang dat ze als bedrijf er voor zorgen dat producten die ze gebruiken up-to-date zijn en ze geen gebruik maken van End-of-Life-producten. Sta hier in het kader van OpenSSL in het bijzonder stil bij producten die ze benaderen op afstand, zoals webservers of VPN-oplossingen. Deze zijn als het goed is voorzien van versleuteling.
