De afgelopen dagen is er heel wat te doen over Heartbleed en OpenSSL.

Wat is er nu precies gaande?

(om deze mail niet al te technisch te maken, wordt alles iets eenvoudiger voorgesteld dan het effectief is). Om websites te beveiligen en ervoor te zorgen dat de gegevens die tussen de bezoeker en de webserver verstuurd worden niet achterhaald kunnen worden, wordt er gebruik gemaakt van versleuteling en SSL certificaten. Via deze certificaten worden de gegevens die over internet verstuurd worden omgezet in onleesbare codes die enkel door de bedoelde ontvanger terug leesbaar gemaakt kunnen worden. Nu zijn er verschillende technologiën om met die SSL certificaten om te gaan. Eén daarvan (die zeer populair is) is OpenSSL. En laat nu net in die OpenSSL een fout zitten die het mogelijk maakt om die gegevens alsnog te achterhalen, en ook de gegevens te achterhalen van andere sites waar je eerder op hebt gesurft.

Dit betekent dus dat die beveiligde verbinding eigenlijk helemaal niet zo veilig meer is, maar toelaat om wachtwoorden van uw accounts en kredietkaarten gewoon uit uw browser uit te lezen (als je de nodige kennis hieromtrent bezit). Ondertussen werd de fout in OpenSSL gecorrigeerd, maar alle webhosts en applicatie bouwers die gebruik maken van deze OpenSSL, moeten deze correcties zelf doorvoeren op hun eigen servers (als gebruiker kan je dus zelf hier niets aan doen). In de loop van de komende dagen en weken zal je dan mogelijk ook mails ontvangen van andere websites waar je een account hebt dat ze veilig zijn, of dat ze het nodige hebben gedaan om de problemen te fixen en dat ze je aanraden om je wachtwoorden aan te passen.

Doet dit probleem zich ook voor op mijn website?

Neen! De servers en hosting accounts van Luyten.Info maken géén gebruik van OpenSSL en hebben dus geen last van dit probleem !

Luyten.Info maakt gebruik van Microsoft Windows Server en Microsoft Internet Information Server die een eigen mechanisme heeft om met SSL certificaten om te gaan. Deze technologie heeft geen last van dit probleem. Maak je dus geen zorgen, via jouw website of een andere website die gehost wordt bij Luyten.Info zullen er geen gegevens ontfutseld worden. (meer informatie over de Microsoft technologie vind je op een artikel dat Microsoft hierover heeft gepubliceerd).

Moet ik mij dan helemaal geen zorgen maken?

Helaas is het niet zo eenvoudig. Via onze servers is er dan wel geen probleem, maar mogelijk maak je gebruik van andere websites die wel last (gehad) hebben van deze bug en waardoor die login gegevens dus wel in de verkeerde handen gevallen kunnen zijn (een lijst van 20 populaire websites die al dan niet getroffen zijn vind je hier). Gebruik je een van die sites die getroffen is, dan is het ten zeerste aangeraden je wachtwoorden voor die site aan te passen.

Verder hebben heel wat mensen de gewoonte om voor veel sites hetzelfde wachtwoord te gebruiken. Als je dus hetzelfde wachtwoord gebruikt voor een site waarvan de logingegevens achterhaald zouden kunnen zijn als van andere sites, dan is het toch niet onverstandig om voor al deze sites een ander wachtwoord te kiezen. Doe dit echter pas eens je hebt vernomen dat de betreffende websites reeds de nodige correcties heeft doorgevoerd. Meer informatie hierover kan je terugvinden in een interessant (Engelstalig) artikel van de makers van 1Password (een tool om je wachtwoorden centraal te beheren).

Ik hoop dat ik je met dit artikel toch wat gerustgesteld heb over de beveiliging op jouw website. Indien je hier verder nog vragen over hebt, aarzel dan zeker niet om ons te contacteren !

Pin It on Pinterest