← Terug naar de blog

Hoe we Casengo poedelvrij maakten (POODLE)

Eerst en vooral: met poedels an sich hebben we weinig moeite, zolang hun baasjes geen al te grote gelijkenissen met hen vertonen. Waar we meer moeite mee hebben, is het Padding Oracle On Downgraded Legacy Encryption (ook bekend als POODLE) lek waarover de Google guys vorige week berichtten. Het betreft een zwakke plek in SSL versie 3.0, oftewel SSLv3.

Hoe werkt SSL? Servers en browsers vertrouwen op het Secure Sockets Layer (SSL) protocol om de data van gebruikers te beschermen tijdens verbindingen. Voor privécommunicatie, zoals een live chatgesprek, wordt een speciaal kanaal met een unieke code gegenereerd. Als je een webpagina opvraagt die met SSL is beschermd, zal je browser de meest recente SSL-versie opzoeken. Dat lukt meestal, en dan is er niets aan de hand.

Hoe zit het met dat lek? Als het niet lukt om verbinding te maken met een recente SSL-versie, dan zoekt de browser automatisch naar oudere versies om het feest aan de gang te krijgen. En het lek waarover we het hier hebben, zit in een stokoude versie: SSL versie 3.0, bijna 18 jaar oud. Dankzij POODLE kunnen hackers connecties doelbewust verknoeien. Als het hen lukt toegang te krijgen tot SSLv3, dan kunnen ze gevoelige data onderscheppen van online winkels en andere websites.

Welke stappen hebben we ondernomen? Hackers kunnen verbindingen zo verknallen dat zelfs browsers met een nieuwe SSL versie – die van ons en waarschijnlijk die van jou – opeens terugvallen op SSLv3. Daarom hebben we besloten om deze oude versie uit te zetten, waardoor SSLv3 nu onbereikbaar is voor web browsers.

Hoe beïnvloedt dit jou en je klantenservice? De invloed is waarschijnlijk nihil. De meeste van onze gebruikers zullen helemaal niets merken, en hun online bezoekers (die op de chatbutton klikken) evenmin. Onze ontwikkelaars hebben via Google Analytics uitgezocht dat slechts 0,88% van de bezoekers op de websites van Casengo-gebruikers (jouw klanten dus) met een oude browser werken. Tenzij zij hun browser upgraden, kunnen ze zij geen chatgesprekken meer met je voeren (als je tenminste HTTPS afdwingt). Dus krijg je een vraag van een (potentiële) klant over het niet functioneren van je live chat, check dan eerst welke browser hij of zij gebruikt. Wie Microsoft Internet Explorer 6 (IE6) – of een oudere IE-versie – wordt aangeraden om te upgraden naar de nieuwste IE-versie (als dat überhaupt mogelijk is) of te switchen naar Google Chrome of Mozilla Firefox. Je kan dus gerust zijn: deze poedel bijt niet meer!