Sweet32
Entsprechender Fehler
„Der Server ist durch SWEET32-Angriffe gefährdet. Stellen Sie sicher, dass die schwachen Schlüssel (DES und 3DES) auf dem Server deaktiviert sind, und verwenden Sie AES.“
Problem
Der Sweet32 Birthday-Angriff betrifft die Triple-DES-Chiffrierung. Obwohl das OpenSSL-Team die Triple-DES-Bedrohung als gering eingestuft hat, erklärte es, Triple-DES sollte nun gleich negativ bewertet werden wie RC4. Die DigiCert Sicherheitsexperten sowie andere Sicherheitsprofis empfehlen die Deaktivierung sämtlicher Triple-DES-Verschlüsselungen auf Ihrem Server.
Die DES-Schlüssel (und Triple-DES) haben nur eine 64-Bit-Block. Dies ermöglicht einem Angreifer, JavaScript in einem Browser auszuführen und durch das Senden großer Datenmengen über die gleiche TLS-Verbindung eine Kollision herbeizuführen. Mit dieser Kollision kann der Angreifer Informationen aus einem Session-Cookie abgreifen.
Die Triple-DES-Verschlüsselungen wird von der überwiegenden Mehrheit der HTTPS-Server und allen wichtigen Webbrowsern mit etwa 600 der am häufigsten besuchten Websites unterstützt. Glücklicherweise wählen die meisten Browser für eine HTTPS-Verbindung eher AES als Triple-DES.
Lösung
Wählen Sie eine der folgenden Lösungen:
Deaktivieren sämtliche Triple-DES-Verschlüsselungen auf Servern, die sie noch unterstützen.
Aktualisieren Sie alte Server, die keine stärkeren Verschlüsselungen als DES oder RC4 unterstützen.