"Данный сервер уязвим для атаки FREAK. Отключите поддержку любых пакетов экспорта на вашем сервере и отключите все незащищенные шифры."
В 1990-е годы правительство США установило правила экспорта систем шифрования. Эти правила ограничивали надежность ключей шифрования RSA максимум 512 битами в любых реализациях уровня защищенных гнезд (SSL), предназначенных для экспорта. Со временем правила изменились. Наборы "экспортных" шифров перестали использоваться, и к 2000 году браузеры смогли использовать SSL с более высоким уровнем безопасности.
Команда исследователей выявила, что старые криптографические наборы экспортного уровня все еще используются и сегодня. Серверы, поддерживающие наборы экспортных шифров RSA, могут позволить взломщику, подключившемуся к каналу связи между контрагентами (MITM), обманывать клиентов, которые поддерживают наборы некриптостойких шифров, и использовать эти легко дешифруемые 40- и (или) 56-разрядные наборы экспортных шифров для ухудшения их соединения. MITM может использовать современные вычислительные мощности, чтобы взломать эти ключи всего за несколько часов.
Атака FREAK возможна потому, что некоторые серверы, браузеры и другие реализации SSL по-прежнему поддерживают и используют более слабые криптографические наборы экспортного уровня, что позволяет MITM вынуждать этих клиентов использовать ключи экспортного уровня, даже если они не запрашивали шифрование экспортного уровня. Как только шифрование сеанса взломано, MITM может выкрасть любую «защищенную» личную информацию из сеанса.
Соединение уязвимо, если существуют следующие условия:
Криптографические наборы экспортного уровня были обнаружены в OpenSSL и Apple Secure Transport (используются в браузерах Chrome, Safari, Opera и Android, а также в обычных браузерах BlackBerry), а также в Windows Secure Channel / Schannel (криптографическая библиотека, включенная во все поддерживаемые версии Windows, используется в Internet Explorer).
Отключите поддержку всех наборов шифров экспортного уровня на своих серверах. Мы также рекомендуем отключить поддержку всех известных небезопасных шифров (не только экспортных шифров RSA) и шифров с 40- и 56-битным шифрованием, а также включить полную безопасность пересылки (см. Включение полной безопасности пересылки).
Дополнительные ресурсы:
Уязвимые клиенты включают в себя программное обеспечение, которое использует OpenSSL или Apple Secure Transport (Chrome, Safari, Opera, Android и BlackBerry), или Windows Secure Channel / Schannel (Internet Explorer).
Дополнительные ресурсы:
DigiCert is the world's leading provider of scalable TLS/SSL, IoT and PKI solutions for identity and encryption. The most innovative companies, including 89% of the Fortune 500 and 97 of the 100 top global banks, choose DigiCert for its expertise in identity and encryption for web servers and Internet of Things devices. DigiCert supports TLS and other digital certificates for PKI deployments at any scale through its certificate lifecycle management solution, CertCentral®. The company is recognized for its enterprise-grade certificate management platform, fast and knowledgeable customer support, and market-leading security solutions. For the latest DigiCert news and updates, visit digicert.com or follow @digicert.
©2020 DigiCert, Inc. All rights reserved. DigiCert, its logo and CertCentral are registered trademarks of DigiCert, Inc. Norton and the Checkmark Logo are trademarks of NortonLifeLock Inc. used under license. Other names may be trademarks of their respective owners.
Этот сайт используйте файлы «cookie» и другие технологии отслеживания для облегчения навигации и предоставления вам возможности оставлять отзывы, для анализа использования вами наших продуктов и сервисов, помощи в наших действиях по продвижению и рекламированию и предоставления содержания третьих сторон. Прочитайте нашу Политика в отношении файлов «cookie» и Политику конфиденциальности для получения более подробной информации.