SSL / TLS renegotiation kwetsbaarheid

Het antwoord is nee, SSL transacties waren al niet enorm veilig. De SSL en TLS protocollen zijn namelijk protocollen met nogal wat haken en ogen. Ze beschermen alleen indien ze goed geïmplementeerd zijn en de gebruiker de kennis heeft om ze goed te gebruiken. Met name laatst genoemde is een probleem. De gemiddelde gebruiker zal namelijk wanneer hij een SSL foutmelding tegenkomt deze direct weg klikken om verder te kunnen. Dit doet afbreuk aan het SSL protocol, omdat het er op vertrouwd dat het de gebruiker juist heeft geïnformeerd en de gebruiker de juiste actie zal nemen.

Een beveiligingssysteem is zo veilig als de zwakste schakel, in deze is dat veelal de onwetende gebruiker. Het is wel mogelijk om in specifieke gevallen deze kwetsbaarheid uit te buiten maar een aanvaller zal zich eerder richten op de mens dan op deze kwetsbaarheid, omdat deze eenvoudiger te manipuleren is. Mocht de  aanvaller toch besluiten de kwetsbaarheid uit te buiten dan moet hij een man-in-the-middle aanval uitvoeren en moet zoals het er nu uitziet vooraf enige kennis hebben van de omgeving om te weten hoe hij deze kwetsbaarheid exact kan uitbuiten..

Loopt u dus risico? Dat hangt ervan af of u een interessant doelwit bent. High-profile bedrijven en instellingen zoals banken en overheidsinstellingen zijn voor hackers interessante doelwitten en dus voor een kwaadwillende de moeite waard om een dergelijk tijdrovende aanval uit te voeren. Het zijn dus met name deze bedrijven die het SSL lek in hun applicaties moeten dichten. Kleinere, low-profile bedrijven en instellingen doen er uiteraard ook goed aan het SSL lek te dichten, maar als er andere veiligheidslekken ook om de schaarse aandacht roepen moeten die zeker voorgaan.