Este servidor é vulnerável a um ataque DROWN. Desative o protocolo SSLv2 no servidor."
Pesquisadores descobriram a vulnerabilidade DROWN no SSL v2. DROWN significa Decrypting RSA with Obsolete and Weakened eNcryption. Ele afeta HTTPS e outros serviços que dependem dos protocolos SSL e TLS.
Os invasores podem usar a vulnerabilidade DROWN para quebrar a criptografia usada para proteger os seus dados sensíveis de olhos observadores. Se a criptografia for partida, os invasores podem ler/roubar suas comunicações sensíveis (por ex., senhas, dados financeiros e e-mails). Em alguns casos, os invasores também podem fingir ser sites confiáveis.
Embora o protocolo SSL 2.0 caiu em desuso em 1996 devido a falhas conhecidas de segurança, alguns servidores ainda o utilizam. Vulnerabilidadesfalhas de segurança bem conhecidas são:
Integridade de mensagem para codificações de exportação é fraca
Integridade da mensagem não é protegida.
Vulnerável ao ataque man-in-the-middle.
Vulnerável ao ataque de truncamento.
Desabilite SSL 2.0 nos servidores ou serviços que ainda suportam SSL v2.
Para OpenSSL, a solução mais fácil é atualizar para versões lançadas recentemente do OpenSSL. Se ainda estiver usando uma das versões antigas (não suportadas) do OpenSSL, atualize para uma nova versão suportada.
Se estiver usando IIS 7 ou mais recente, SSL v2 é desabilitado por padrão. Se você manualmente habilitou suporte para SSL v2, volte e desabilite-o. Se estiver rodando a versão mais antiga (não suportada) do IIS, atualize para a versão 7 ou mais nova do IIS.
Se estiver usando NSS 3.13 ou mais recente, SSL v2 é desabilitado por padrão. Se você manualmente habilitou suporte para SSL v2, volte e desabilite-o. Se estiver usando uma versão mais antiga do NSS, atualize para NSS 3.13 ou mais novo.
Se os seus servidores suportam SSL v2, desabilite suporte para ele.