Per Hellqvist om IT-säkerhet och sånt

Bugg i SSL

6 Nov 2009

ssllockSecure Sockets Layer, eller SSL, används för att upprätta en säker förbindelse mellan din dator och en webbplats, t ex din bank eller liknande. Man märker det på att länken börjar med “https” istället för bara “http”. Tanken bakom är att förbindelsen ska vara insynsskyddad och det ska vara omöjlig att ändra informationen som överförs. Om någon försöker sig på detta så kommer det felmeddelanden.

Nu verkar det som om man hittat en sårbarhet i protokollet som gör det möjligt för en så kallad “man-in-the-middle“-attack. Den attacken innebär att någon kan injicera egen text i kommunikationen. Personen kan dock inte läsa det som sänds, det är krypterat. Enligt vissa som intervjuats i artikeln är denna attack svår att lansera, men man anser den ändå såpass allvarlig att man arbetar på ett sätt att täppa till hålet. Men då uppstår nästa problem. Steve Dispensa på PhoneFactor yttrycker det så här:

It’s going to take a while for the protocol changes necessary to be rolled out, because every browser and every server in the world is going to have to be patched.

Inget litet jobb med andra ord. Tills det sker så kan vi inte göra så mycket mer än det vanliga. Hålla tummarna och hoppas att inget otrevligt händer :-)

(SSL håller på att fasas ut och ersättas av TLS. Hoppas att den är bättre genomgången)

Taggar: Jobbigt, Kryptering, Säkerhetshål

Kommentarer

4 kommentarer to “Bugg i SSL”

  1. Leif Nixon on November 6th, 2009 16:13

    Nej. Det här problemet finns i alla TLS- och SSL-versioner; http://extendedsubset.com/?p=8

  2. beng on November 6th, 2009 23:27

    Förvånad?

    Förövrigt så är det enkelt fixat (om jag fattat rätt) med SSLProtocol All -SSLv2 -SSLv3. Eller ja, vsarför inte SSLProtocol TLSv1.

  3. admin on November 7th, 2009 09:29

    Tack för input Leif och beng

  4. Leif Nixon on November 11th, 2009 09:11

    beng, hur skulle det hjälpa? Det här är en protokollbugg i såväl TLS som SSL.

    Se till exempel http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2009-3555

Lämna en kommentar

Du måste vara inloggad för att lämna en kommentar.