Sinds de dagen dat het web openbaar ging hebben het SSL-protocol en diens opvolger TLS de beveiliging van websites op orde gemaakt zodat e-commerce kon groeien. De lange geschiedenis van deze protocollen heeft ervoor gezorgd dat steeds geavanceerdere aanvallers steeds buiten gehouden konden worden. Versie 1.3 van TLS komt er nu aan en als je een site draait, ga je dit nodig hebben, omdat criminelen zich ook blijven ontwikkelen.

Wat is SSL?

Secure Sockets Layer (SSL) werd midden jaren 90 ontwikkeld door de maker van de toentertijd populairste browser: Netscape. Versie 1.0 werd nooit openbaar geïntroduceerd en versie 2.0 bevatte grote fouten. In 1996 verscheen SSL 3.0 en dit volledig opgefriste protocol was een springplank voor alles dat zou volgen qua webencryptie.

Wat is TLS?

De vierde versie van het protocol werd gestandaardiseerd door de Internet Engineering Task Force in 1999 en kreeg een nieuwe naam: Transport Layer Security (TLS). De verschillen met SSL 3.0 waren niet zo heel groot, zoals de specificatie zelf ook opmerkt. Dus het is geen kwestie van SSL versus TLS: de ene is de normale evolutie van de ander en daarom wordt ook vaak SSL/TLS in één adem genoemd.

Het TLS-protocol zorgt ervoor dat allerlei internetverkeer versleuteld kan worden doorgevoerd. De bekendste is webverkeer, te herkennen aan "https" in de adresbalk en een slotje die je duidelijk maakt dat de site versleuteld is, hoewel Google dit gefaseerd omdraait en het in Chrome juist gaat aangeven als sites niet versleuteld zijn en https juist de norm is. Ook andere internettoepassingen kunnen TLS gebruiken, zoals usenet en e-mail.

Hoe TLS werkt

Encryptie is noodzakelijk om beveiligd te kunnen communiceren: als je data niet is versleuteld, kan iedereen de packets opvangen en de inhoud uitlezen. De veiligste methode is asymmetrische cryptografie: dit vereist twee cryptografische sleutels - twee stukken informatie, vaak enorm grote getallen - waarvan eentje openbaar is en de andere privé.

De wiskunde die daarbij komt kijken is te complex om hier snel te behandelen, maar in feite komt het erop neer dat het sleutelpaar wordt samengesteld uit een enorm getal, waar je een park supercomputers nodig zou hebben om de daarbij behorende ontbonden priemgetallen ervan uit te rekenen. De ene kant op rekenen met de priemgetallen is eenvoudig voor elke computer, zodat de sleutel makkelijk te verifiëren is, maar andersom rekenen is heel lastig.

Je kunt de publieke sleutel zien als de locatie van de met een slot afgesloten brievenbus en de provésleutel als de sleutel die alleen op deze brievenbus past. Iedereen die weet waar de brievenbus zich bevindt kan er een boodschap indoen, maar deze kan alleen worden gelezen door mensen die de sleutel ervan hebben.

Omdat asymmetrische cryptografie in feite om een hoop wiskundeproblemen draait die moeten worden, zou het erg veel rekenkracht kosten om alle informatie in een communicatiesessie te versleutelen. TLS omzeilt dat basisprobleem door asymmetrische cryptografie te gebruiken aan het begin van een sessie tussen en server en client die samen een sessiesleutel afspreken om pakketjes te versleutelen. Encryptie met een gedeelde sleutel is symmetrische cryptografie en dit is minder zwaar rekenwerk voor computers. Omdat de sessiesleutel wordt bepaald met asymmetrische cryptografie, is de gehele sessie sterker beveiligd dan anders het geval zou zijn geweest.

De handshake

Het proces waarbij een client en server een sleutel overeenkomen, wordt een handshake genoemd, omdat dit het moment is dat de twee partijen zich aan elkaar voorstellen. De handshake staat aan de basis van het TLS-protocol. Het is een complex proces met diverse mogelijke variaties, maar deze basistappen moeten je een idee geven van de werking:

Een client benadert de server en vraagt een beveiligde verbinding aan. De server geeft aan welke cijfermodule - algoritmische toolkits voor het maken van versleutelde verbindingen - hij kent. De client vergelijkt dit met zijn eigen cijfermodules, selecteert er eentje en laat de server weten dat ze deze allebei zullen gebruiken voor het proces.

De server levert vervolgens zijn digitale certificaat, een elektronisch document dat is uitgegeven door een third-party autoriteit waarmee de server zijn identiteit bevestigt. Het belangrijkste stukje informatie in het certificaat is de publieke sleutel van de server. De client verifieert de authenticiteit van het certificaat.

Met de publieke sleutel in de hand stellen de client en server een sessiesleutel vast die ze allebei gaan gebruiken gedurende de rest van de sessie om communicatie te versleutelen. Daar zijn verschillende technieken voor. De client kan bijvoorbeeld de publieke sleutel gebruiken om een willekeurig getal te versleutelen die de server vervolgens moet ontsleutelen, waarna beide partijen dit getal gebruiken om de sessiesleutel te bepalen. De twee partijen kunnen ook een Diffie-Hellman key-exhange gebruiken om de sessiesleutel vast te stellen.

Meer weten? Dit artikel op SSL.com heeft een goed overzicht van het hele handshake-proces en een grafiek die de stappen weergeeft.

Zoals de naam al aangeeft, is een sessiesleutel alleen maar geldig tijdens de gehele, ononderbroken communicatiesessie. Als om de een of andere reden de sessie wordt afgekapt - door een netwerkprobleem of een client die even niet reageert - is er een nieuwe handshake nodig om te onderhandelen over een verse sessiesleutel als de communicatie weer wordt opgestart.

Kwetsbaarheden is TLS 1.2

De huidige versie van TLS is 1.2 en dat is al jaren het protocol. Opvolger 1.3 is net gedefinieerd en moet de nieuwe standaard worden. In versie 1.2 worden oudere protocollen nog wel ondersteund om zo oude pc's te kunnen bedienen. Maar aanvallers misbruiken dat en dwingen in sommige scenario's een downgrade af om een client naar een oude methode over te laten stappen die kwetsbaarder is omdat de protocollen achterhaald zijn geraakt door de toegenomen rekenkracht.

Versie 1.2 is daarmee kwetsbaar geworden voor man in the middle-aanvallen (MitM), waarbij een malafide partij pakketjes die worden verzonden tussen client en server opvangt, uitleest of bewerkt, en weer doorstuurt. Ook aanvallen als Logjam, FREAK, POODLE, SLOTH en DROWN zijn mogelijk door de ondersteuning van legacy-versleuteling. Dit zijn allemaal problemen die zijn ontdekt in de afgelopen paar jaar, waardoor de komst van een nieuwe versie steeds urgenter werd.

De komst van TLS 1.3

Eerder deze maand werd TLS 1.3 goedgekeurd, ondanks zorgen van netwerkbeheerders over het vervallen van de ondersteuning van legacy-encryptiesystemen, waarmee deze problemen dus worden opgelost. Er is wel achterwaartse compatibiliteit, in de zin dat er wordt teruggevallen op TLS 1.2 als een van de twee partijen niet in staat is om TLS 1.3 te gebruiken. Om een stokje te steken voor MitM-aanvallen wordt een afgedwongen downgrade naar 1.2 als 1.3 wel beschikbaar is opgemerkt en de verbinding beëindigd.

Er zijn nog steeds servers die nóg oudere versies van TLS dan 1.2 gebruiken en er zijn zelfs servers die nog het originele SSL-protocol gebruiken. Als jij een van de beheerders van zo'n server bent, is de tijd gekomen om te upgraden en de tussenstappen over te slaan om meteen gebruik te maken van TLS 1.3, zodat je bijvoorbeeld recente browsers kunt blijven ondersteunen.

TLS-crimeware

Nog één laatste opmerking over TLS en beveiliging: de goeieriken zijn niet de enige die het gebruiken. Criminelen gebruiken TLS bijvoorbeeld om command-and-controlverkeer tussen de malware die ze bij slachtoffers hebben geïnstalleerd en hun C&C-servers te beveiligen. Dat draait de zaken om en zorgt ervoor dat juist de verdedigers op zoek moeten naar manieren om dit verkeer te onderscheppen. Er zijn verschillende manieren om met zo'n versleutelde aanval om te gaan, inclusief het uitlezen van metadata van het netwerk om te zien war aanvallers doen, zonder daadwerkelijk de inhoud van pakketjes uit te hoeven lezen.