Dit najaar stopt de ondersteuning van OpenSSL versie 1.1.1. Het Digital Trust Center (DTC) waarschuwt softwareontwikkelaars en mensen die verantwoordelijk zijn voor de ict-beveiliging om tijdig over te stappen naar een nieuwe versie van het beveiligingsprotocol voor netwerkverkeer.
‘Op 11 september 2023 stoppen de ontwikkelaars van OpenSSL met het ondersteunen van OpenSSL versie 1.1.1. Daarmee bereikt deze versie de end-of-life-status; er komen geen updates meer om eventuele kwetsbaarheden of andere fouten te verhelpen’, schrijft het DTC. De dienst van het Nederlandse ministerie van Economische Zaken helpt bedrijven bij veilig digitaal ondernemen en roept ze op te controleren of hun organisatie de verouderde OpenSSL-versie gebruikt. Als dat het geval is, luidt het advies om te upgraden naar OpenSSL versie 3.0 of 3.1.
OpenSSL is een veelgebruikte softwarebibliotheek om versleuteling toe te passen. Het wordt vooral gebruikt voor het versleutelen van netwerkverbindingen. Een bekende vorm van versleuteling is https:// bij internetadressen. Zo wordt datacommunicatie tussen twee computers met een https-verbinding versleuteld en kan deze niet door een derde partij worden bekeken.
OpenSSL
DTC: ‘OpenSSL kan onderdeel uitmaken van je besturingssysteem en ook verwerkt zitten in andere bedrijfssoftware, firewalls, nas-systemen en vpn-oplossingen. Door deze verwevenheid is het niet altijd eenvoudig om na te gaan of binnen jouw organisatie gebruik wordt gemaakt van OpenSSL en welke versie gebruikt wordt.’
Die complexiteit van softwarebibliotheken verweven in andere software, kwam in 2014 aan het licht bij de kwetsbaarheid Heartbleed en in 2021 bij de Apache Log4J-kwetsbaarheid. Een jaar later speelde dit ook bij een kwetsbaarheid in OpenSSL genaamd SpookySSL. Het Nationaal Cyber Security Centrum (NCSC) en zijn partners kwamen toen met een lijst van softwareproducten waarin op dat moment OpenSSL zat verwerkt. Die uitgebreide, maar niet volledige lijst geeft een goed beeld van de populariteit en de complexiteit.
Controleren
‘Ontwikkel je zelf software en maak je gebruik van OpenSSL?’, vraagt DTC aan organisaties. ‘Controleer dan of je gebruikmaakt van een nog ondersteunde versie van OpenSSL. Is dit niet het geval? Zorg dan dat deze versie vervangen wordt. Is vervangen (nog) geen mogelijkheid, dan is er een mogelijkheid om tegen betaling uitgebreide support af te nemen.’
Volgens het centrum wordt OpenSSL versie 3.0 tot 15 september 2026 ondersteund en OpenSSL versie 3.1 tot 14 maart 2025.
‘Ontwikkel je zelf geen software, dan is de kans nog steeds aanwezig dat je producten of diensten gebruikt waarin OpenSSL is verwerkt. Het is aan de leverancier van deze producten of diensten om noodzakelijke updates of upgrades door te voeren’, staat in het bericht.
OpenSSL 1.0.2 en 1.1.1 worden door Red Hat nog ondersteund en onderhouden voor repectievelijk Red Hat Enterprise Linux 7 en 8, en hiermee zijn er ook nog beveiligingsupdates beschikbaar voor CentOS, RockyLinux, AlmaLinux, Oracle Linux etc. Dit loopt totdat de support voor deze besturingssystemen verloopt: tot uiterlijk 2028 voor Red Hat Enterprise Linux 7 en tot uiterlijk 2032 voor Red Hat Enterprise Linux 8.
Het is dus niet zo dat het draaien van deze versies van OpenSSL dus altijd een probleem is.