"Questo server è vulnerabile agli attacchi Logjam. Verifica di avere il protocollo TLSv1.2 abilitato sul server. Disabilita il supporto per qualsiasi pacchetto esportazione sul tuo server e disabilita tutti i codici non sicuri."
Durante gli anni ‘90, il governo degli Stati Uniti definì regole per l’esportazione dei sistemi di crittografia. Queste regole riguardavo il supporto rinforzato di SSL 3.0 e TLS 1.0 per i pacchetti di crittografia DHE_EXPORT più deboli. Alla fine, le regole sono state cambiate e i limiti di esportazione sono stati rimossi. Purtroppo, alcuni server TLS usavano ancora una configurazione a due gruppi: 1024 bit per gli scambi con chiave DHE standard e 512 bit per DHE_EXPORT legacy, mentre tutti i browser supportano ancora i codici DHE_EXPORT deboli.
Un team di ricercatori ha rivelato che (consulta Imperfect Forward Secrecy: come Diffie-Hellman non ottiene risultati positivi) i precedenti pacchetti di crittografia di esportazione DHE vengono ancora usati. Ha scoperto anche che i server con supporto per questi pacchetti di crittografia DHE_EXPORT abilitati potevano consentire a un man-in-the-middle (MITM) di ingannare i client che supportano i pacchetti di crittografia DHE_EXPORT deboli per fare il downgrade della loro connessione ad uno scambio di chiavi da 512 bit. Poi i pirati MITM potevano usare dei dati preconfigurati insieme alla potenza di calcolo di oggi per decifrare le chiavi. Una volta che la crittografia della sessione è decifrata, il MITM può rubare qualsiasi informazione personale “protetta” dalla sessione.
Per essere vulnerabili, devono essere soddisfatte entrambe queste condizioni:
I client vulnerabili includono Internet Explorer, Chrome, Safari e Mozilla.
Come parte della divulgazione del team di ricerca, è stata creata una guida complessiva per mitigare questa vulnerabilità sia per i server che per i client. Consulta Guida per l’uso di Diffie-Hellman per TLS.
DigiCert is the world's leading provider of scalable TLS/SSL, IoT and PKI solutions for identity and encryption. The most innovative companies, including 89% of the Fortune 500 and 97 of the 100 top global banks, choose DigiCert for its expertise in identity and encryption for web servers and Internet of Things devices. DigiCert supports TLS and other digital certificates for PKI deployments at any scale through its certificate lifecycle management solution, CertCentral®. The company is recognized for its enterprise-grade certificate management platform, fast and knowledgeable customer support, and market-leading security solutions. For the latest DigiCert news and updates, visit digicert.com or follow @digicert.
©2020 DigiCert, Inc. All rights reserved. DigiCert, its logo and CertCentral are registered trademarks of DigiCert, Inc. Norton and the Checkmark Logo are trademarks of NortonLifeLock Inc. used under license. Other names may be trademarks of their respective owners.
Questo sito utilizza i cookie e altre tecnologie di rilevamento per aiutarti nella navigazione e a fornire feedback, analizzare il tuo utilizzo dei nostri prodotti e servizi, aiutarti con i nostri sforzi commerciali e promozionali e fornire i contenuti di terze parti. Per ulteriori informazioni leggi la nostra politica sui cookie e le nostre norme sulla privacy.