Sweet32

Entsprechender Fehler

"Der Server ist durch SWEET32-Angriffe gefährdet. Stellen Sie sicher, dass die schwachen Schlüssel (DES und 3DES) auf dem Server deaktiviert sind, und verwenden Sie AES."

Problem

Der Sweet32 Birthday-Angriff, betrifft die Triple-DES-Chiffrierung. Obwohl das OpenSSL-Team die Triple-DES-Bedrohung als gering eingestuft hat, erklärte es, “Triple-DES sollte nun gleich bewertet werden wie RC4.” Die DigiCert Sicherheitsexperten sowie andere Sicherheitsprofis empfehlen die Deaktivierung sämtlicher Triple-DES-Verschlüsselungen auf Ihrem Server.

Die DES-Schlüssel (und Triple-DES) haben nur eine 64-Bit-Block. Dies ermöglicht einem Angreifer, JavaScript in einem Browser auszuführen und durch das Senden großer Datenmengen über die gleiche TLS-Verbindung eine Kollision herbeizuführen. Mit dieser Kollision kann der Angreifer Informationen aus einem Session-Cookie abgreifen.

Die Triple-DES-Verschlüsselungen wird von der überwiegenden Mehrheit der HTTPS-Server und allen wichtigen Webbrowsern mit etwa 600 der am häufigsten besuchten Websites unterstützt. Glücklicherweise wählen die meisten Browser für eine HTTPS-Verbindung eher AES als Triple-DES.

Lösung

Wählen Sie eine der folgenden Lösungen:

  • Deaktivieren sämtliche Triple-DES-Verschlüsselungen auf Servern, die sie noch unterstützen.
  • Aktualisieren Sie alte Server, die keine stärkeren Verschlüsselungen als DES oder RC4 unterstützen.