Beste klant/collega,

(Is dit bericht niet goed leesbaar? Bekijk dan de online versie.)

Wij vragen aandacht voor het volgende:

1. OpenSSL Upgrade
2. Uitzetten onveilige encryptie methodes in het Icecast platform

Het is tot onze attentie gekomen dat de versie van OpenSSL die we in veel componenten gebruiken (1.1.1x) sind kort End-Of-Life is. (Het oog van Sauron had blijkbaar even een andere kant op gekeken…) In deze change wordt de verouderde versie vervangen door een nieuwere (3.0.x) die wel in support is.

OpenSSL is een veelgebruikte programmabibliotheek voor het versleutelen van data. De meestgebruikte toepassing hiervan is het https protocol, waarbij web-data versleuteld over het internet verstuurd wordt. OpenSSL zit daarom ingebakken in allerlei webserver software (bijvoorbeeld apache en nginx) maar omdat de clients deze data weer moeten “ontsleutelen” zit het ook ingebakken in client- en applicatiesoftware als curl, git en in programmeertalen als ruby, python en php.

Dus als er (zoals nu) een nieuwe versie van OpenSSL gebruikt gaat worden, dan worden al de genoemde componenten (apache, curl, php enz) hierdoor geraakt.

Normaal, bij kleine updates van OpenSSL (bv van versie 1.1.1x naar 1.1.1y) is dat ook het geval. Dat type updates nemen we mee in de reguliere 8-wekelijkse software update rondes. In dit geval wordt er overgestapt naar een wezenlijk nieuwere versie van OpenSSL en “verpakken” we dit in deze aankondiging.

Waar in de tussentijd ook nieuwere point-releases van software pakketten uitgekomen zijn (b.v. apache-2.4.57 → apache-2.4.58) hebben we die meteen meegenomen.

Dit betreft enkel de oude, on-prem omgeving. CHP wordt niet geraakt in deze actie. De werking van alle applicaties blijft gelijk. Dit bericht is enkel ter informatie.

In het TLS protocol dat ten grondslag ligt aan o.a. https hebben clients en servers de mogelijkheid om met elkaar uit te onderhandelen welke encryptieptmethode ze precies willen gebruiken. Dat is handig, want dat geeft meer vrijheid om nieuwere methodes toe te voegen en oude te verwijderen. Zolang er maar minimaal 1 gemeenschappelijke methode is tussen clients en servers dan kunnen ze die gebruiken om met elkaar te communiceren.

Een probleem echter wat hierbij optreedt is dat er van tijd tot tijd fouten gevonden worden in bestaande encryptiemethodes. Het kan voorkomen dat zo'n fout ervoor zorgt dat een methode minder veilig is dan eerder gedacht werd, met als gevolg dat verkeer waarvan je dacht dat het veilig versleuteld was in de praktijk toch afgeluisterd kan worden.

In zo'n geval is het zaak dat die encryptiemethode uitgefaseerd wordt en dat clients en servers onderling een wel veilige methode uitonderhandelen.

Het NPO Icecast platform bleek nog een aantal oude, onveilige encryptiemethodes toe te staan. Deze worden uitgezet, zodat er alleen nog nu veilig geachte methodes gebruikt kunnen worden.

De OpenSSL upgrades worden in de periode van 23–26 oktober doorgevoerd. De aanpassing in de Icecast encryptiemethodes worden op 23 oktober doorgevoerd.

Veel software kan zonder, of met heel weinig impact ge-update worden. Voor deze zaken kiezen we ervoor om zo'n update overdag uit te voeren. Bij een aantal andere componenten is er iets meer impact merkbaar. Die voeren we uit in een nachtelijks change window. Hieronder is de impact genummerd van 0 (geen impact) via 1 (korte onderbreking van enkele seconden) tot 2 (onderbreking van enkele minuten op de dienstverlening).

De tijdstippen zijn als volgt:

Team Hosting&Streaming is gedurende al het onderhoud via de normale kanalen bereikbaar. Zie de contact pagina.