Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 8 reacties
Bron: OpenSSL

OpenSSL is een bekend beveiligingsprogramma dat encryptiefuncties aanbiedt. Het bevat een implementatie van de tls- en ssl-protocollen, waarmee data versleuteld kan worden verstuurd en ontvangen. Voor meer informatie verwijzen we door naar deze pagina. De ontwikkelaars hebben nieuwe versies uitgebracht met 1.0.0c en 0.9.8q als versieaanduidingen. De bijbehorende lijst met veranderingen sinds de vorige vermelding in de Meuktracker ziet er als volgt uit:

Changes between 1.0.0b and 1.0.0c:
  • Fixed J-PAKE implementation error, originally discovered by Sebastien Martini, further info and confirmation from Stefan Arentz and Feng Hao. Note that this fix is a security fix. CVE-2010-4252 [Ben Laurie]
Changes between 1.0.0a and 1.0.0b
  • Fix extension code to avoid race conditions which can result in a buffer overrun vulnerability: resumed sessions must not be modified as they can be shared by multiple threads. CVE-2010-3864
  • Fix WIN32 build system to correctly link an ENGINE directory into a DLL. [Steve Henson]


Changes between 0.9.8p and 0.9.8q:
  • Disable code workaround for ancient and obsolete Netscape browsers and servers: an attacker can use it in a ciphersuite downgrade attack. Thanks to Martin Rex for discovering this bug. CVE-2010-4180 [Steve Henson]
  • Fixed J-PAKE implementation error, originally discovered by Sebastien Martini, further info and confirmation from Stefan Arentz and Feng Hao. Note that this fix is a security fix. CVE-2010-4252 [Ben Laurie]
Changes between 0.9.8o and 0.9.8p:
  • Fix extension code to avoid race conditions which can result in a buffer overrun vulnerability: resumed sessions must not be modified as they can be shared by multiple threads. CVE-2010-3864 [Steve Henson]
  • Fix for double free bug in ssl/s3_clnt.c CVE-2010-2939 [Steve Henson]
  • Don't reencode certificate when calculating signature: cache and use the original encoding instead. This makes signature verification of some broken encodings work correctly. [Steve Henson]
  • ec2_GF2m_simple_mul bugfix: compute correct result if the output EC_POINT is also one of the inputs. [Emilia Käsper]
  • Don't repeatedly append PBE algorithms to table if they already exist. Sort table on each new add. This effectively makes the table read only after all algorithms are added and subsequent calls to PKCS12_pbe_add etc are non-op. [Steve Henson]
Versienummer:1.0.0c / 0.9.8q
Releasestatus:Final
Besturingssystemen:Windows 7, Windows 2000, Linux, BSD, Windows XP, macOS, Solaris, UNIX, Windows Server 2003, Windows Vista, Windows Server 2008
Website:OpenSSL
Download:http://www.openssl.org/source/
Licentietype:Voorwaarden (GNU/BSD/etc.)
Moderatie-faq Wijzig weergave

Reacties (8)

Goede, gratis tool en ideale aanvulling op IIS6/7. Vandaag nog gebruikt om een self signed certiifcate te maken met sha-256 encryptie :).

Enige waar je altijd rekening mee moet houden is dat als je met CSP's in de weer gaat de retourondertekende berichten in PEM formaat moeten zijn. Het Windows (DER) formaat vindt hij minder lekker.
<miereneukmode>Sha-256 hashing bedoel je. Hashes zijn niet reversible, encryptie wel (hopelijk)</miereneukmode>
een van de grootste nadelen van ssl,

1 een vast ip nodig (kortom dat wordt wachten op ipv6),
2 een groot geld bedrag om een key autoriteit over te halen je een sleutel te verstrekken,
zelf gesignede codes zijn bijna niet bruikbaar (heb ik het idee?) en om nu voor een niet-commerciele site toch ssl in te zetten wordt gewoon te duur terweil voor bijv een forum de meerwaarde van ssl naar mijn idee wel degelijk nuttig zouden zijn...

is er nu geen 'andere' manier?

[Reactie gewijzigd door i-chat op 8 december 2010 15:22]

Duur? Bij Xolphin heb je een RapidSSL certificaat voor 12 euro (exclusief btw) per jaar.

De reden waarom je een vast IP nodig hebt is omdat het werkt in de netwerk laag, voordat HTTP word gesproken. De server bepaald bij name-virtualhosts de site door middel van het 'Host' veld in de aanvraag headers.

Bij HTTPS word verbinding gemaakt, word er aan beide kanten afgesproken dat de verbinding moet worden versleutelt (SSL Handshake) en gaan daarna pas HTTP spreken. Maar omdat de naam niet vanaf het begin duidelijk is weet de server niet welke host hij moet hebben, daarom is een uniek IP-adres nodig.

TLS (opvolger van SSL) heeft deze problemen gelukkig niet meer, maar dat word helaas nog te weinig gebruikt voor HTTP. Hoewel voor zover ik weet de ondersteuning goed genoeg is.
Er bestaat ook een technologie die SNI (Server Name Indication) heet voor Apache. Ik weet niet of deze er is is IIS?

Daardoor kunnen er meerder ssl vhosts op 1 ip gedraaid worden!
Klopt, alleen het grote nadeel van SNI is dat het niet door Internet Explorer (6, 7 en 8) op Windows XP wordt ondersteund waardoor je het in de praktijk helaas voor veel publieke websites nog niet in kunt zetten.

http://en.wikipedia.org/wiki/Server_Name_Indication#Support
die 12 euro per jaar zijn de kosten niet die 12 euro per maand per ip vaak wel,

en soms zijn er ook andere redenen waarom een vast ip minder berijkbaar is, er zijngenoeg shared hosting providers die alleen 'de dure' certs gebruiken, (tot tig euro per maand), andere providers gebruiken juist helemaal geen ssl omdat ze name based vhosts gebruiker,

natuurlijk voor een webshop (hoe klein ook) is die 12 euro een prikkie, maar het zou beter zijn als elk forum (waar je een wachtwoord voor invult en info naar verstuurt) een SSL beveiliging zou bieden...

dat maakt het hele wep (incl open accesspoints, een stuk veiliger...

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True