"Данный сервер уязвим для атаки FREAK. Отключите поддержку любых пакетов экспорта на вашем сервере и отключите все незащищенные шифры."
В 1990-е годы правительство США установило правила экспорта систем шифрования. Эти правила ограничивали надежность ключей шифрования RSA максимум 512 битами в любых реализациях уровня защищенных гнезд (SSL), предназначенных для экспорта. Со временем правила изменились. Наборы "экспортных" шифров перестали использоваться, и к 2000 году браузеры смогли использовать SSL с более высоким уровнем безопасности.
Команда исследователей выявила, что старые криптографические наборы экспортного уровня все еще используются и сегодня. Серверы, поддерживающие наборы экспортных шифров RSA, могут позволить взломщику, подключившемуся к каналу связи между контрагентами (MITM), обманывать клиентов, которые поддерживают наборы некриптостойких шифров, и использовать эти легко дешифруемые 40- и (или) 56-разрядные наборы экспортных шифров для ухудшения их соединения. MITM может использовать современные вычислительные мощности, чтобы взломать эти ключи всего за несколько часов.
Атака FREAK возможна потому, что некоторые серверы, браузеры и другие реализации SSL по-прежнему поддерживают и используют более слабые криптографические наборы экспортного уровня, что позволяет MITM вынуждать этих клиентов использовать ключи экспортного уровня, даже если они не запрашивали шифрование экспортного уровня. Как только шифрование сеанса взломано, MITM может выкрасть любую «защищенную» личную информацию из сеанса.
Соединение уязвимо, если существуют следующие условия:
Криптографические наборы экспортного уровня были обнаружены в OpenSSL и Apple Secure Transport (используются в браузерах Chrome, Safari, Opera и Android, а также в обычных браузерах BlackBerry), а также в Windows Secure Channel / Schannel (криптографическая библиотека, включенная во все поддерживаемые версии Windows, используется в Internet Explorer).
Отключите поддержку всех наборов шифров экспортного уровня на своих серверах. Мы также рекомендуем отключить поддержку всех известных небезопасных шифров (не только экспортных шифров RSA) и шифров с 40- и 56-битным шифрованием, а также включить полную безопасность пересылки (см. Включение полной безопасности пересылки).
Дополнительные ресурсы:
Уязвимые клиенты включают в себя программное обеспечение, которое использует OpenSSL или Apple Secure Transport (Chrome, Safari, Opera, Android и BlackBerry), или Windows Secure Channel / Schannel (Internet Explorer).
Дополнительные ресурсы:
Компания DigiCert является первым в мире премиальным поставщиком цифровых страховых сертификатов высокого уровня, предоставляя доверенные SSL, частные и управляемые развертывания PKI, а также сертификаты устройств для растущего рынка интернета вещей. С момента нашего основания почти пятнадцать лет назад нами руководила идея поиска лучшего пути. Лучшего пути аутентификации в сети Интернет. Лучшего пути создания решений в ответ на запросы наших клиентов. Теперь мы добавили опыт и человеческие ресурсы компании Symantec к нашему инновационному наследию с целью поиска оптимального направления развития отрасли и усиления веры в идентичность и цифровые взаимоотношения.
2019 DigiCert, Inc. Все права защищены. Компания DigiCert и ее логотип являются зарегистрированными торговыми знаками компании DigiCert, Inc. Компании Symantec и Norton, их логотипы и торговые знаки используются на основании лицензии, выданной компанией Symantec Corporation. Другие названия могут являться торговыми знаками соответствующих собственников.
Этот сайт используйте файлы «cookie» и другие технологии отслеживания для облегчения навигации и предоставления вам возможности оставлять отзывы, для анализа использования вами наших продуктов и сервисов, помощи в наших действиях по продвижению и рекламированию и предоставления содержания третьих сторон. Прочитайте нашу Политика в отношении файлов «cookie» и Политику конфиденциальности для получения более подробной информации.