Al u zich een beetje bezig houdt met het internet, dan heeft u er waarschijnlijk ergens in de afgelopen twee weken van gehoord, de heartbleed bug. Hebt u er nog niet van gehoord, of nog niet de tijd gehad om u er ook echt in te verdiepen, dan bent u na het lezen van dit blogitem over de SSL heartbleed bug weer helemaal bij.
SSL staat voor Secure Socket Layer en wordt gebruikt voor het beveiligen van de internetverbinding. Je ziet dit vooral bij webshops, financiële transacties en het versturen van persoonsgegevens. Tijdens het transport van deze data zijn de gegevens beveiligd en niet leesbaar door derden. Het beveiligen van persoonsgegevens is wettelijke verplicht en bij het versturen van persoonsgegevens is een SSL certificaat dan ook aan te raden. Je herkent een website met SSL certificaat aan het hangslot en de url in de browserbalk, de url begint dan met https://. Naast SSL is er ook TLS(Transport Layer Security), de opvolger van SSL.
De Heartbleed bug is een lek in de cryptografische programmeerbibliotheek OpenSSL, die wordt gebruikt voor het SSL/TLS protocol. Het lek ontstond op 31 december 2011 door een programmeerfout, die ook door de reviewer werd gemist. Op 7 april 2014 werd het lek bekend gemaakt door het OpenSSL projecten, nadat deze door Neel Mehta van Google Security werd ontdekt. Via de heartbleed bug is het mogelijk servergeheugen uit te lezen dat anders beschermd zouden zijn via SSL/TLS. Het servergeheugen kan gevoelige informatie bevatten, bijvoorbeeld gebruikersgegevens, zoals gebruikersnaam en wachtwoord. Direct op 7 april 2014 kwam de nieuwe versie uit van OpenSSL waarin dit lek is gedicht.
Het is aan te raden uw wachtwoorden van websites, waar u bent aangesloten voor de zekerheid te vervangen.