Veelgestelde vragen Heartbleed OpenSSL kwetsbaarheid

Wat is de OpenSSL Heartbleed kwetsbaarheid

Dit is een kwetsbaarheid in OpenSSL waardoor een hacker private sleutels, certificaten en gevoelige informatie zoals wachtwoorden en klantgegevens kan achterhalen.

Met de geheime sleutels van certificaten kan de aanvaller informatie achterhalen uit versleutelde verbindingen die worden gebruikt voor bijvoorbeeld websites, e-mail en VPN.


Wat kan ik eraan doen om de kwetsbaarheid weg te nemen

Deze ernstige kwetsbaarheid kan worden weggenomen door de server te upgraden naar een versie van OpenSSL die niet kwetsbaar is. Daarnaast raad oa. het NCSC aan om certificaten en de bijbehorende private sleutels te vervangen als deze op een kwetsbare server gebruikt zijn.


Welke stappen moet ik zetten
Het NCSC beveiligingsadvies adviseert de volgende stappen:

  1. Inventariseer welke van uw servers een kwetsbare versie van OpenSSL gebruiken.
    Zie http://www.kb.cert.org/vuls/id/720951 voor een overzicht van kwetsbare OpenSSL versies en veelgebruikte serversoftware
  2. Inventariseer welke private sleutels van certificaten worden gebruikt op een kwetsbare server.
  3. Upgrade alle servers met een kwetsbare versie van OpenSSL naar een versie die niet meer kwetsbaar is. Is upgraden niet mogelijk, compileer OpenSSL dan zonder ondersteuning voor de heartbeat-functionaliteit -DOPENSSL_NO_HEARTBEATS.
  4. Genereer nieuwe private sleutels en vraag nieuwe certificaten aan voor alle sleutels die mogelijk gecompromitteerd zijn (zie stap 2).
  5. Vervang de mogelijk gecompromitteerde sleutels en certificaten door nieuwe exemplaren op servers met een geüpgradede versie van OpenSSL. Plaats geen nieuwe sleutels en certificaten op servers zolang deze nog kwetsbaar zijn.
  6. Laat uw certificaatleverancier (zoals KPN) de certificaten intrekken die u zojuist vervangen heeft.

De private keys van mijn certificaten staan op een HSM, moet ik dan ook vervangen?
Geheime sleutels van certificaten die alleen opgeslagen zijn in een HSM, zijn in principe niet bereikbaar voor een aanval via deze kwetsbaarheid. In dit geval hoeft u deze certificaten niet te vervangen.
Wel dient u een OpenSSL versie te installeren waarin de kwetsbaarheid niet meer aanwezig is.


Moet ik mijn klanten informeren over mogelijk datalekken en fraude
De kwetsbaarheid in OpenSSL bestaat al sinds maart 2012 en is pas begin april 2014 ontdekt en gerepareerd. Gedurende deze periode was de recentste versie van OpenSSL steeds kwetsbaar en kan er gevoelig materiaal zijn buitgemaakt zoals wachtwoorden, sessiesleutels en gevoelige (klant)gegevens.

Als deze OpenSSL versie geïnstalleerd is (geweest) op systemen die klant data bevatten cq. uitwisselen, overweeg dan om uw klanten te informeren over de situatie en stappen die ze zelf kunnen nemen om fraude met hun gegevens te voorkomen, zoals het wijzigen van wachtwoorden.
In sommige gevallen kan het voorkomen dat u melding dient te maken van dataverlies of lekken persoonsgegevens bij de autoriteiten.


Is de Heartbleed kwetsbaarheid alleen op PKIoverheid certificaten van toepassing

Nee, de kwetsbaarheid betreft alle typen certificaten.


Hoe bepaal ik of ik mijn certificaat moet vervangen
In veel gevallen zal het raadzaam zijn om uw certificaat te vervangen. Het is niet te detecteren of hackers in het verleden gebruik hebben gemaakt van deze kwetsbaarheid en mogelijk reeds in het bezit zijn van de private sleutel van uw certificaat.
Indien u een HSM gebruikt is het niet mogelijk dat de private sleutel van uw certificaat is gekopieerd door deze kwetsbaarheid.


Hoe start ik het aanvraagproces op

Zie de Toelichting aanvraag servercertificaat


Hoe lang duurt het voordat ik een vervangend certificaat heb
Voor bestaande abonnees met reeds geïdentificeerde certificaatbeheerders neemt een aanvraag doorgaans maximaal 2 dagen in beslag, uitgaande van een volledig en correcte aanvraaggegevens.

Houdt u rekening mee met de drukte die kan ontstaan door het aantal aanvragen als gevolg van de Heartbeat kwetsbaarheid.


Wat kost een vervangend PKIoverheid servercertificaat
Zie voor de actuele tarieven de prijslijst.

Als u een certificaat wilt vervangen door een nieuw certificaat, dan dient u in de certificaat aanvraag aan te geven dat het om een vervanging gaat. Onder bepaalde voorwaarden kunt u aanspraak maken op een gereduceerd vervangingstarief. Zie hiervoor de productinformatie voor het betreffende type servercertificaat.


Hoe zorg ik dat het oude certificaat wordt ingetrokken
Lees meer over hoe u een certificaat kunt intrekken.