Ondersteuning OpenSSL versie 1.1.1 stopt

Op 11 september 2023 stoppen de ontwikkelaars van OpenSSL met het ondersteunen van OpenSSL versie 1.1.1. Daarmee bereikt deze versie de End-of-Life status; er komen geen updates meer om eventuele kwetsbaarheden of andere fouten te verhelpen. Het Digital Trust Center raadt bedrijven aan om te controleren of gebruik wordt gemaakt van het verouderde OpenSSL versie 1.1.1. Aangeraden wordt om te upgraden naar OpenSSL versie 3.0 of 3.1.

OpenSSL is een van de meest gebruikte software(bibliotheken) om versleuteling toe te passen. Het wordt vooral gebruikt voor het versleutelen van netwerkverbindingen. Een bekende vorm van versleuteling is https:// bij websites. Dit zorgt ervoor dat de datacommunicatie tussen twee computers met een https-verbinding versleuteld is en niet kan worden ingezien door een derde partij. OpenSSL kan onderdeel uitmaken van een besturingssysteem en ook verwerkt zitten in andere bedrijfssoftware, Firewalls, NAS-systemen en VPN-oplossingen. Door deze verwevenheid is het niet altijd eenvoudig om na te gaan of binnen een organisatie gebruik wordt gemaakt van OpenSSL en welke versie gebruikt wordt.
 
De complexiteit van software(bibliotheken) die verweven zitten in andere software, kwam in 2021 aan het licht bij de Apache Log4J kwetsbaarheid. Een jaar later speelde dit ook bij een kwetsbaarheid in OpenSSL genaamd SPOOKYSSL. Het Nationaal Cyber Security Centrum (NCSC) heeft toen samen met partners een lijst samengesteld met software waar op dat moment OpenSSL in verwerkt zat. De uitgebreide maar niet volledige lijst geeft goed de populariteit en de complexiteit weer.
 
Aangeraden wordt om te controleren of men gebruik maakt van een nog ondersteunde versie van OpenSSL. OpenSSL versie 3.1 wordt ondersteund tot 14 maart 2025.