"This server is vulnerable to a DROWN attack. Disable SSLv2 protocol on the server" (Ce serveur est vulnérable aux attaques DROWN. Veuillez désactiver le protocole SSLv2 sur le serveur).
Des chercheurs sont découvert la vulnérabilité DROWN dans le protocole SSL v2. DROWN est l’acronyme de « Decrypting RSA with Obsolete and Weakened eNcryption (Déchiffrer RSA via un chiffrement obsolète et faible). Cette vulnérabilité affecte HTTPS et les autres services qui dépendent des protocoles SSL et TLS.
Les attaquants peuvent exploiter la vulnérabilité DROWN pour briser le chiffrement utilisé pour protéger vos données sensibles contre les regards indiscrets. Si le chiffrement est brisé, les attaquants peuvent lire ou dérober vos communications sensibles (par ex., mots de passe, données financières et messages électroniques). Dans certaines situations, les attaquants peuvent également usurper des sites Internet de confiance.
Bien que le protocole SSL 2.0 ait été renié en 1996 en raison de failles de sécurité connues, certains serveurs l’utilisent toujours. Vulnérabilités ou failles de sécurité bien connues :
Désactivez le protocole SSL 2.0 sur les serveurs ou services qui prennent encore en charge SSL v2.
Pour OpenSSL, la solution la plus simple consiste en une mise à niveau avec les versions d’OpenSSL récemment publiées.
Si vous utilisez encore l’une des anciennes versions (n’étant plus prises en charge) d’OpenSSL, veuillez procéder à la mise à niveau avec la version prise en charge la plus récente.
Si vous utilisez Microsoft IIS 7 ou une version plus récente, le protocole SSL v2 est désactivé par défaut. Si vous avez activé manuellement la prise en charge du protocole SSL v2, retournez aux paramètres et désactivez-la. Si vous exécutez une version plus ancienne (n’étant plus prise en charge) de Microsoft IIS, veuillez procéder à la mise à niveau avec IIS 7 ou une version plus récente.
Si vous utilisez NSS 3.13 ou une version plus récente, le protocole SSL v2 est désactivé par défaut. Si vous avez activé manuellement la prise en charge du protocole SSL v2, vous devez revenir aux paramètres et la désactiver. Si vous utilisez une version de NSS plus ancienne, veuillez procéder à la mise à niveau avec NSS 3.13 ou une version plus récente.
Si vos serveurs prennent en charge le protocole SSL v2, désactivez la prise en charge.
DigiCert is the world's leading provider of scalable TLS/SSL, IoT and PKI solutions for identity and encryption. The most innovative companies, including 89% of the Fortune 500 and 97 of the 100 top global banks, choose DigiCert for its expertise in identity and encryption for web servers and Internet of Things devices. DigiCert supports TLS and other digital certificates for PKI deployments at any scale through its certificate lifecycle management solution, CertCentral®. The company is recognized for its enterprise-grade certificate management platform, fast and knowledgeable customer support, and market-leading security solutions. For the latest DigiCert news and updates, visit digicert.com or follow @digicert.
©2020 DigiCert, Inc. All rights reserved. DigiCert, its logo and CertCentral are registered trademarks of DigiCert, Inc. Norton and the Checkmark Logo are trademarks of NortonLifeLock Inc. used under license. Other names may be trademarks of their respective owners.
Ce site utilise des cookies et d'autres technologies de suivi pour faciliter la navigation et vous permettre d'apporter vos commentaires, pour analyser votre utilisation de nos produits et services, pour faciliter notre marketing et nos promotions et pour fournir du contenu aux tierces parties. Consultez notre politique de cookies et notre politique de confidentialité pour en savoir plus.