OpenSSL gaat onveilige configuratie-opties standaard uitschakelen

[Captain Kirk]

Het OpenSSL Team gaat verschillende veranderingen doorvoeren die iedereen die met de software werkt aangaan, waaronder het uitbrengen van beveiligingsupdates op dinsdag en het standaard uitschakelen van onveilige configuratie-opties. OpenSSL behoort tot de meest gebruikte software voor het versleutelen van internetverbindingen, bijvoorbeeld tussen websites en hun bezoekers.

Onlangs kwam het OpenSSL Team bij elkaar in Londen waar verschillende zaken werden besproken. Zo zullen beveiligingsupdates voortaan op dinsdag verschijnen, tenzij er sprake van "buitengewone omstandigheden" is. Het gaat dan bijvoorbeeld om een kwetsbaarheid die actief wordt aangevallen. De aankondiging van aankomende beveiligingsupdates zal op de dinsdag voor het verschijnen van de patches plaatsvinden.

Verder zijn er ook verschillende nieuwe afspraken over het encryptiebeleid gemaakt. Onveilige configuratie-opties zullen standaard uitgeschakeld staan. Hier is OpenSSL al mee begonnen door SSLv2 uit te schakelen. In de toekomst kan er besloten worden om de minimale sleutellengte van bepaalde algoritmen te verlengen. Daarnaast moeten alle algoritmen en protocollen in OpenSSL door nationale of internationale standaardenorganisaties zijn erkend. Ook zal het mogelijk worden om alle nieuwe algoritmes bij het compileren van OpenSSL uit te schakelen.

Op het gebied van communicatie heeft het OpenSSL Team besloten om meer van GitHub gebruik te gaan maken en zal de mailinglist voor ontwikkelaars worden gesloten. Het verschil tussen de mailinglist voor ontwikkelaars en gebruikers was volgens het OpenSSL Team te klein en daarnaast zullen ontwikkelaars nu meer via GitHub werken. Afsluitend wordt gemeld dat de volgende versie van OpenSSL het nieuwe encryptieprotocol TLS 1.3 zal bevatten, als de Internet Engineering Task Force (IETF) er klaar mee is.

 

 

bron: security.nl