OpenSSL 1.1.1 wordt stopgezet op 11 september

openssl

De overlijdensdatum van OpenSSL 1.1.1 is nog maar een maand verwijderd. Bedrijven die nog een oude versie van het versleutelingsprotocol gebruiken, stappen best zo snel mogelijk over.

Het nieuws dat OpenSSL 1.1.1 zou worden stopgezet, is niet nieuw. OpenSSL maakte dit op 28 maart al bekend. De vereniging die de ontwikkeling van het versleutelingsprotocol overziet, hanteert de regel om elke versie voor vijf jaar lang van beveiligingsupdates te voorzien. Die termijn loopt voor versie 1.1.1 af op 11 september 2023.

Voor wie toch uit de lucht komt vallen of de deadline even vergeten is, stuurt het Nederlandse Digital Trust Center nog eens een waarschuwing uit, die je ook als Belgische organisatie serieus mag nemen. Het overheidscentrum dat waakt over de digitale veiligheid raadt bedrijven aan om grondig te controleren waar OpenSSL aanwezig is binnen hun softwareketen en of dat nog een ondersteunde versie is.

Overal aanwezig

Omwille van de alomtegenwoordigheid van OpenSSL is dat geen sinecure. OpenSSL is een van de meest gebruikte softwarebibliotheken om netwerkverbindingen te versleutelen. Het protocol kan daardoor verweven zitten in besturingssystemen, maar ook in software voor firewalls, nas- en vpn-servers.

Naar aanleiding van de Spooky SSL-kwetsbaarheid die eind 2022 voor grote problemen zorgde, is via GitHub een lijst te vinden met softwareprogramma’s die OpenSSL kunnen bevatten. Die lijst is verre van exhaustief. Het is ook moeilijk na te gaan hoe weidverspreid oudere versies van de bibliotheek nog zijn.

Het gebruiken van een niet-ondersteunde software kan in het geval van OpenSSL zeker voor ernstige beveiligingsproblemen zorgen. De software staat in directe verbinding met je internetnetwerk. Een versie die niet ondersteund kan gaten bevatten waar aanvallers dankbaar gebruik van zullen maken om door je netwerk te manoeuvreren.

De meest recente versie van OpenSSL is 3.1 die nog tot maart 2025 van updates wordt voorzien. Versie 3.0 biedt zelfs nog garantie tot september 2026.

nieuwsbrief

Abonneer je gratis op ITdaily !

  • This field is for validation purposes and should be left unchanged.