"This server is vulnerable to a DROWN attack. Disable SSLv2 protocol on the server" (Ce serveur est vulnérable aux attaques DROWN. Veuillez désactiver le protocole SSLv2 sur le serveur).
Des chercheurs sont découvert la vulnérabilité DROWN dans le protocole SSL v2. DROWN est l’acronyme de « Decrypting RSA with Obsolete and Weakened eNcryption (Déchiffrer RSA via un chiffrement obsolète et faible). Cette vulnérabilité affecte HTTPS et les autres services qui dépendent des protocoles SSL et TLS.
Les attaquants peuvent exploiter la vulnérabilité DROWN pour briser le chiffrement utilisé pour protéger vos données sensibles contre les regards indiscrets. Si le chiffrement est brisé, les attaquants peuvent lire ou dérober vos communications sensibles (par ex., mots de passe, données financières et messages électroniques). Dans certaines situations, les attaquants peuvent également usurper des sites Internet de confiance.
Bien que le protocole SSL 2.0 ait été renié en 1996 en raison de failles de sécurité connues, certains serveurs l’utilisent toujours. Vulnérabilités ou failles de sécurité bien connues :
Désactivez le protocole SSL 2.0 sur les serveurs ou services qui prennent encore en charge SSL v2.
Pour OpenSSL, la solution la plus simple consiste en une mise à niveau avec les versions d’OpenSSL récemment publiées.
Si vous utilisez encore l’une des anciennes versions (n’étant plus prises en charge) d’OpenSSL, veuillez procéder à la mise à niveau avec la version prise en charge la plus récente.
Si vous utilisez Microsoft IIS 7 ou une version plus récente, le protocole SSL v2 est désactivé par défaut. Si vous avez activé manuellement la prise en charge du protocole SSL v2, retournez aux paramètres et désactivez-la. Si vous exécutez une version plus ancienne (n’étant plus prise en charge) de Microsoft IIS, veuillez procéder à la mise à niveau avec IIS 7 ou une version plus récente.
Si vous utilisez NSS 3.13 ou une version plus récente, le protocole SSL v2 est désactivé par défaut. Si vous avez activé manuellement la prise en charge du protocole SSL v2, vous devez revenir aux paramètres et la désactiver. Si vous utilisez une version de NSS plus ancienne, veuillez procéder à la mise à niveau avec NSS 3.13 ou une version plus récente.
Si vos serveurs prennent en charge le protocole SSL v2, désactivez la prise en charge.
DigiCert est le premier fournisseur mondial de certificats numériques à garantie élevée. Il propose des certificats SSL sûrs, des déploiements PKI managés et privés et des certificats pour appareils pour le marché émergent de l’Internet des objets. Depuis notre création il y a près de quinze ans, notre moteur a toujours été l’idée de trouver chaque jour de meilleures solutions. De meilleures solutions pour permettre les authentifications sur Internet. De meilleures solutions pour adapter nos services aux besoins de nos clients. Désormais, le talent et l’expérience de Symantec viennent suppléer notre héritage fait d’innovation pour trouver toujours de meilleures solutions qui permettent de faire avancer toute une industrie et de renforcer la confiance envers les identités et les interactions dans le numérique.
©2019 DigiCert, Inc. Tous droits réservés. DigiCert, et son logo sont des marques déposées de DigiCert, Inc. Symantec et Norton, ainsi que leurs logos respectifs, sont des marques déposées utilisées sous licence de Symantec Corporation. Les autres noms sont potentiellement des marques déposées de leurs propriétaires respectifs.
Ce site utilise des cookies et d'autres technologies de suivi pour faciliter la navigation et vous permettre d'apporter vos commentaires, pour analyser votre utilisation de nos produits et services, pour faciliter notre marketing et nos promotions et pour fournir du contenu aux tierces parties. Consultez notre politique de cookies et notre politique de confidentialité pour en savoir plus.