Skip to main content

DROWN

Decrypting RSA using Obsolete and Weakened eNcryption

Entsprechender Fehler

„Der Server ist durch DROWN-Angriffe gefährdet. Deaktivieren Sie das SSL 2-Protokoll auf dem Server.“

Problem

Forscher haben die DROWN-Schwachstelle in SSL 2 erkannt. DROWN steht für Decrypting RSA with Obsolete and Weakened eNcryption. Es betrifft HTTPS- und andere Dienste, die von SSL- und TLS-Protokollen abhängig sind.

Angreifer können DROWN-Schwachstelle nutzen, um die Verschlüsselung zu knacken, mit der Sie Ihre sensiblen Daten vor neugierigen Augen schützen. Wenn die Verschlüsselung geknackt ist, können die Angreifer Ihre vertrauliche Kommunikation (z. B. Kennwörter, Finanzdaten und E-Mails) lesen bzw. stehlen. In bestimmten Situationen kann der Angreifer sogar Ihre vertrauenswürdigen Websites übernehmen.

Obwohl das SSL 2.0-Protokoll bereits im Jahr 1996 aufgrund bekannter Sicherheitslücken verworfen wurde, gibt es immer noch Server, die es verwenden. Bekannte Schwachstellen und Sicherheitslücken sind:

  • Die Nachrichtenintegrität für Exportchiffren ist schwach

  • Die Nachrichtenintegrität ist unsicher.

  • Anfällig für Man-In-The-Middle-Angriffe.

  • Anfällig für Truncation-Angriffe

Lösung

Deaktivieren Sie SSL 2.0 auf Servern bzw. für Dienste, die noch SSL 2 unterstützen.

OpenSSL

Für OpenSSL ist die einfachste Lösung ein Upgrade auf die letzte Version von OpenSSL. Falls Sie noch immer eine der älteren (nicht mehr unterstützten) Versionen von OpenSSL verwenden, aktualisieren Sie es auf eine unterstützte neuere Version.

Microsoft IIS

Bei IIS 7 oder später ist SSL2 standardmäßig deaktiviert. Falls Sie die Unterstützung für SSL 2 manuell aktiviert haben, deaktivieren Sie sie wieder. Falls Sie eine ältere (nicht mehr unterstützte) Version von IIS nutzen, aktualisieren Sie IIS auf Version 7 oder neuer.

Network Security Services (NSS)

Bei NSS 3.13 oder später ist SSL 2 standardmäßig deaktiviert. Falls Sie die Unterstützung für SSL 2 manuell aktiviert haben, deaktivieren Sie sie wieder. Falls Sie eine ältere Version von NSS nutzen, aktualisieren Sie NSS auf Version 3.13 oder neuer.

Apache, Nginx usw.

Falls ihr Server SSL 2 unterstützt, deaktivieren Sie die Unterstützung.