Akamai, wiens netwerken verantwoordelijk zijn voor 30 procent van al het internetverkeer, moet zijn apparatuur gaan patchen omdat zijn custom OpenSSL-implementatie alsnog onveilig blijkt. Het bedrijf is genoodzaakt nieuwe SSL-certificaten en sleutels uit te delen om de verbindingen tussen websites veilig te houden.

Custom code faalt

In een blog geeft CTO Andy Ellis van Akamai toe dat de leverancier met een gat kampt. Het bedrijf implementeerde ongeveer tien jaar terug een eigen OpenSSL-implementatie die op een andere manier beveiligde sleutels van SSL-verbindingen opsloeg, maar deze blijkt alsnog kwetsbaar voor Heartbleed. Eerder nog verkondigde Ellis dat Akamai geen last zou hebben van de beruchte bug die de hele securitywereld in rep en roer heeft gebracht.

Het lek kwam aan het licht door een artikel van de onafhankelijk securityonderzoeker Willem Pinckaers. De in de VS wonende Nederlander schrijft op zijn website dat hij de bug in 15 minuten vond. Ellis geeft inmiddels toe dat Akamai's code niet voldeed aan drie van de zes vereiste waarden van een RSA-sleutel die Akamai voor beveiligde verbinding gebruikt.

Iedereen meer dan twee jaar kwetsbaar

De Heartbleed-bug blijkt al sinds december 2011 in OpenSSL te zitten. Het gat maakt het voor kwaadwillenden mogelijk om bij niet-gepatchte OpenSSL-servers delen van aan clients verstuurde gegevens uit te lezen. Daartoe kunnen bijvoorbeeld gebruikersnamen en wachtwoorden behoren. Inmiddels hebben de meeste leveranciers van serverapparatuur patches uitgebracht en werken websites met herziene certificaten.

Wat is Heartbleed precies, wat zijn de gevolgen en wat moeten we doen om weer veilig te kunnen internetten?

5 brandende vragen over OpenSSL-gat Heartbleed