OpenSSL waarschuwt voor einde support versie 1.1.1 op 11 september

[Captain Kirk]

De ontwikkelaars van OpenSSL waarschuwen iedereen die van versie 1.1.1 gebruikmaakt, want nog minder dan zes maanden en dan zal deze versie geen beveiligingsupdates meer ontvangen. Vanaf 11 september is de software namelijk end of life. Gebruikers wordt aangeraden om te upgraden naar OpenSSL 3.0 of OpenSSL 3.1. Deze versies worden respectievelijk tot 7 september 2026 en 14 maart 2025 ondersteund.

OpenSSL behoort tot de meestgebruikte software voor het versleutelen van internetverbindingen. Websites maken er bijvoorbeeld gebruik van om het verkeer van en naar bezoekers te versleutelen. Kwetsbaarheden in OpenSSL kunnen zeer grote gevolgen voor het internet hebben, zo heeft de Heartbleed Bug in het verleden aangetoond.

Naast de normale releases werkt OpenSSL ook met Long Term Support (LTS) releases. Die kunnen vijf jaar lang op beveiligingsupdates rekenen. OpenSSL 1.1.1 was een LTS-release die op 11 september 2018 verscheen. Op 11 september 2023 stopt de ondersteuning. OpenSSL 3.0 is ook een LTS-release en wordt daardoor langer ondersteund dan versie 3.1.

Een andere optie is het afsluiten van een betaald onderhoudscontract. Daarbij krijgen organisaties ook na de end of life datum van OpenSSL 1.1.1 nog beveiligingsupdates voor deze versie. Het is echter onbekend hoelang OpenSSL deze updates blijft aanbieden. Het ontwikkelteam zegt dit te blijven doen zolang het commercieel houdbaar is.

 

bron: https://www.security.nl