CRIME

"Deze server is kwetsbaar voor een CRIME-aanval. Zorg ervoor dat het TLSv1.2-protocol is ingeschakeld op uw server en schakel SSL/TLS-compressie uit."

Het Transport Layer Security-protocol (TLS) bevat een functie (TLS-compressie) waarmee u gegevens kunt comprimeren die tussen de server en de browser worden uitgewisseld. U gebruikt deze functie om de bandbreedte- en latentieproblemen te verminderen die gepaard gaan met het versleutelen en ontsleutelen van grote hoeveelheden gegevens. TLS-compressie wordt toegevoegd aan het Client Hello-bericht. Het opnemen van TLS-compressie is optioneel.

In een CRIME-aanval (Compression Ratio Info-leak Made Easy) herstelt de aanvaller de inhoud van geheime authenticatiecookies en gebruikt deze informatie om een geverifieerde websessie te kapen. De aanvaller gebruikt een combinatie van platte-tekstinjectie en TLS-compressiegegevenslekkage om het beveiligingslek te misbruiken. De aanvaller zet de browser ertoe aan om meerdere verbindingen met de website te maken. De aanvaller vergelijkt vervolgens de grootte van de ciphertexts die tijdens elke uitwisseling door de browser worden verzonden om delen van de versleutelde communicatie te bepalen en de sessie te kapen.