Beste Klant / collega,

Op woensdag 23 augustus 2017 tussen 10:00h en 12:00h voeren we enkele software updates door op onze hosting-, streaming- en mail platformen. De impact hiervan is minimaal, wij verwachten dat er geen onderbrekingen in de dienstverlening merkbaar zullen zijn.

Deze updates worden doorgevoerd om hiermee de laatste patchlevels van de betreffende software versies in gebruik te nemen. Dit zijn grotendeels minor updates binnen dezelfde major versie. De impact is om deze reden minimaal. Met deze updates worden bugs en andere onvolkomenheden in de software weggenomen.

Een uitzondering hierop is de apache webserver. Voor HTTPS communicatie gebruikt deze een component genaamd “openssl”. Om de veiligheid van HTTPS sites te verhogen vindt er een major upgrade plaats van openssl versie 1.0 naar 1.1.

Om HTTPS nog veiliger te maken is het ook gewenst oudere veries van het TLS (“Transport Level Security”) protocol (TLS-1.0 en TLS-1.1) niet meer aan te bieden en te vervangen door een nieuwere versie (TLS-1.2). Het probleem namelijk met de oudere TLS protocollen is dat er aanvallen denkbaar zijn waarbij de aanvaller alsnog het verkeer in kan zien dat tussen server en client plaatsvindt. Voor bijvoorbeeld banken is dit natuurlijk van groot belang, omdat het dan over betaalverkeer gaat. Om deze reden willen een aantal organisaties binnen het betalingsverkeer TLS-1.0 in de ban doen. Maar tegelijkertijd is het zo dat er nog een substantieel aantal (oudere) clients is dat geen ondersteuning voor TLS-1.2 heeft. Daar zit dus een probleem, want als TLS-1.0 uitgezet wordt is dat wel veiliger, maar gaat ten koste van oude devices die er dan niet meer bij kunnen. Bij Android gaat het over devices van 3-4 jaar oud die geen TLS-1.2 ondersteunen. Dat betreft nog ongeveer 25% van de devices. Zie

• https://blog.pcisecuritystandards.org/migrating-from-ssl-and-early-tls
• https://en.wikipedia.org/wiki/Transport_Layer_Security#Web_browsers
• https://en.wikipedia.org/wiki/Android_version_history

Ook bij Microsoft speelt iets vergelijkbaars, omdat Internet Explorer in Windows 7 en 8 wel support heeft voor TLS-1.2, maar het standaard uitstaat en via een advanced setting aangezet moet worden. Bij IOS speelt het probleem minder, omdat Apple al eerder ondersteuning voor TLS-1.2 in z'n producten heeft ingebouwd.

In onze setup is het zo geregeld dat nieuwere devices het veilige TLS-1.2 protocol kiezen en oudere devices een fallback naar TLS-1.1 of TLS-1.0 hebben. Verder zijn we gestopt met het aanbieden van een aantal oudere encryptiemethoden die als aanvalsvector voor TLS-1.0 gebruikt kunnen worden (3DES varianten). Hierdoor denken wij dat de beste keuze is om TLS-1.0 voorlopig nog aan te laten staan. Maar in het verleden hebben we wel gezien dat bij een nieuw type aanval (Heartbleed, Poodle) het nodig was om oudere protocollen op stel en sprong uit te zetten. Mocht zoiets in de toekomst weer gebeuren dan zullen we dit uiteraard melden.

Een overzicht van de updates:

OpenSSL		1.0.2l  =>      1.1.0f (alleen voor apache)
Apache 2.4      2.4.26  =>      2.4.27
Apache 2.2      2.2.32  =>      2.2.34
Postfix 2.11	2.11.1	=>	2.11.10

Mocht u nog vragen hebben, dan kunt u contact opnemen met de NPO ICT Servicedesk op telefoonnummer (035-) 6773555 of via servicedesk@npo.nl