Op 11 september 2023 stoppen de ontwikkelaars van OpenSSL met het ondersteunen van OpenSSL versie 1.1.1. Daarmee bereikt deze versie de End-of-Life status; er komen geen updates meer om eventuele kwetsbaarheden of andere fouten te verhelpen. Het Digital Trust Center raadt bedrijven aan om te controleren of gebruik wordt gemaakt van het verouderde OpenSSL versie 1.1.1. Aangeraden wordt om te upgraden naar OpenSSL versie 3.0 of 3.1.
Wat is OpenSSL?
OpenSSL is één van de meest gebruikte software(bibliotheken) om versleuteling toe te passen. Het wordt vooral gebruikt voor het versleutelen van netwerkverbindingen. Een bekende vorm van versleuteling is https:// bij websites. Dit zorgt ervoor dat de datacommunicatie tussen twee computers met een https-verbinding versleuteld is en niet kan worden ingezien door een derde partij.
Wat is het risico?
Versleuteling zorgt ervoor dat de confidentialiteit en integriteit van systemen en informatie kan worden gewaarborgd. Ernstige kwetsbaarheden in software die de versleuteling verzorgt, kunnen deze waarborgen aantasten. Denk hierbij aan de kwetsbaarheid die bekend staat als Heartbleed die in 2014 aan het licht kwam en het mogelijk maakte om gevoelige informatie te stelen. Daarnaast staat software zoals OpenSSL vaak direct in verbinding met het internet waardoor aanvallers kwetsbaarheden makkelijker op afstand kunnen misbruiken. Het is daarom belangrijk om gebruik te maken van softwareversies die nog ondersteund worden want deze worden voorzien van beveiligingsupdates.
Maak ik gebruik van OpenSSL?
OpenSSL kan onderdeel uitmaken van je besturingssysteem en ook verwerkt zitten in andere bedrijfssoftware, Firewalls, NAS-systemen en VPN-oplossingen. Door deze verwevenheid is het niet altijd eenvoudig om na te gaan of binnen jouw organisatie gebruik wordt gemaakt van OpenSSL en welke versie gebruikt wordt.
De complexiteit van software(bibliotheken) die verweven zitten in andere software, kwam in 2021 aan het licht bij de Apache Log4J kwetsbaarheid. Een jaar later speelde dit ook bij een kwetsbaarheid in OpenSSL genaamd SPOOKYSSL. Het Nationaal Cyber Security Centrum (NCSC) heeft toen samen met partners een lijst samengesteld met software waar op dat moment OpenSSL in verwerkt zat. De uitgebreide maar niet volledige lijst geeft goed de populariteit en de complexiteit weer.
Wat kan ik doen?
Ontwikkel je zelf software en maak je gebruik van OpenSSL? Controleer dan of je gebruik maakt van een nog ondersteunde versie van OpenSSL. Is dit niet het geval? Zorg dan dat deze versie vervangen wordt. Is vervangen (nog) geen mogelijkheid dan is er een mogelijkheid om tegen betaling uitgebreide support af te nemen.
- OpenSSL versie 3.0 wordt ondersteund tot 15 september 2026;
- OpenSSL versie 3.1 wordt ondersteund tot 14 maart 2025.
Ontwikkel je zelf geen software dan is de kans nog steeds aanwezig dat je producten of diensten gebruikt waar OpenSSL in verwerkt zit. Het is aan de leverancier van deze producten of diensten om noodzakelijke updates of upgrades door te voeren.
Het is van belang dat je als bedrijf er voor zorgt dat producten die je gebruikt up-to-date zijn en je geen gebruik maakt van End-of-Life-producten. Sta hier in het kader van OpenSSL in het bijzonder stil bij producten die je benadert op afstand, zoals webservers of VPN-oplossingen. Deze zijn als het goed is voorzien van versleuteling.
Veilig digitaal ondernemen
Wil je als ondernemer of security verantwoordelijke meldingen van ernstige cyberdreigingen voor bedrijven in je mailbox ontvangen? Sluit je dan aan bij de DTC Community.
Ter ondersteuning van ondernemers is er ook een breed palet aan cybersecurity informatie en een gereedschapskist met cybertools. Testen of je de basis al op orde hebt? Doe de Basisscan Cyberweerbaarheid of de CyberVeilig Check voor mkb en zzp.