"Este servidor es vulnerable a un ataque FREAK. Desactive la compatibilidad para los conjuntos de exportación en su servidor y todos los cifrados poco seguros."
Durante la década de los noventa, el gobierno de los Estados Unidos estableció reglas para la exportación de sistemas de cifrado. Estas reglas limitan la seguridad de las claves de cifrado RSA a un máximo de 512 bits en implementaciones de Capa de sockets seguros (SSL) específicas para exportar. Con el tiempo, las reglas cambiaron. La "exportación" de conjuntos de cifrados se dejó de usar y, para el año 2000, los navegadores podían usar una SSL de seguridad más alta.
Un equipo de investigadores reveló que los conjuntos criptográficos de nivel de exportación anteriores siguen usándose en la actualidad. Los servidores que son compatibles con los conjuntos de cifrado de exportación RSA podrían permitir que un tercero interpuesto (MITM) engañe a los clientes, quienes son compatibles con los conjuntos de cifrado débiles, para que usen estos conjuntos de cifrado de exportación débiles de 40 bits o 56 bits para degradar su conexión. Luego, el MITM puede usar el poder informático de hoy para infringir esas claves en solo unas pocas horas.
El ataque FREAK es posible porque algunos servidores, navegadores y otras implementaciones SSL aún son compatibles y usan los conjuntos de criptografía de nivel de exportación más débiles, lo que permite que un MITM obligue a estos clientes a usar claves de nivel de exportación incluso si no pidieron el cifrado de nivel de exportación. Una vez que el cifrado de la sesión se infringe, el MITM puede robar la información personal «protegida» de la sesión.
Una conexión es vulnerable si se cumplen estas condiciones:
Los conjuntos de criptografía de nivel de exportación se descubrieron en OpenSSL y en Transporte seguro de Apple (usado en Chrome, Safari, Opera, y los navegadores de existencia de Android y BlackBerry), así como el Canal seguro/Schannel de Windows (una biblioteca criptográfica incluida en todas las versiones compatibles de Windows y usada en Internet Explorer).
Desactivar la compatibilidad para todos los conjuntos de cifrado de nivel de exportación en sus servidores. También recomendamos desactivar la compatibilidad para todos los cifrados poco seguros conocidos (no solo los cifrados de exportación de RSA) y los cifrados con encriptación de 40 bits y 56 bits, y activar la confidencialidad directa total (vea Activar la confidencialidad directa total).
Recursos adicionales.
Los clientes vulnerables incluyen software que depende de OpenSSL o del Transporte seguro de Apple (Chrome, Safari, Opera, los navegadores de existencia de Android y BlackBerry) o Canal seguro/Schannel de Windows (Internet Explorer).
Recursos adicionales.
DigiCert is the world's leading provider of scalable TLS/SSL, IoT and PKI solutions for identity and encryption. The most innovative companies, including 89% of the Fortune 500 and 97 of the 100 top global banks, choose DigiCert for its expertise in identity and encryption for web servers and Internet of Things devices. DigiCert supports TLS and other digital certificates for PKI deployments at any scale through its certificate lifecycle management solution, CertCentral®. The company is recognized for its enterprise-grade certificate management platform, fast and knowledgeable customer support, and market-leading security solutions. For the latest DigiCert news and updates, visit digicert.com or follow @digicert.
©2020 DigiCert, Inc. All rights reserved. DigiCert, its logo and CertCentral are registered trademarks of DigiCert, Inc. Norton and the Checkmark Logo are trademarks of NortonLifeLock Inc. used under license. Other names may be trademarks of their respective owners.
Este sitio usa cookies y otras tecnologías de rastreo para ayudarlo con la navegación y su capacidad para brindar comentarios, analizar su uso de nuestros productos y servicios, asistirnos con nuestros esfuerzos promocionales y de mercadotecnia, así como proporcionar contenido de terceros. Lea nuestra Política de cookies y nuestra Política de privacidad para obtener más información.