Home » Posts tagged "sslv2"

DHS 要求郵件系統都必須使用 STARTTLS、DMARC,並且全面禁用 RC4 與 3DES

Twitter 上看到 18F 貼了 DHS 的新規定:「Enhance Email and Web Security」。

郵件系統的部份,要求要有 STARTTLS,並且設定 SPFDMARC。另外禁用 SSLv2 SSLv3,以及 RC43DES

網站的部份,則是要求 HTTPS 以及 HSTS。另外也與郵件系統一樣禁用 SSLv2、SSLv3,以及 RC4 與 3DES。

不只 18F 一個單位在推動,這樣整體的速度才會加快...

最新的 SSL connection 攻擊:DROWN attack

前幾天 OpenSSL 宣佈將在三月一日更新版本,包括了幾項層級被標示為 High 的問題:「[openssl-announce] Forthcoming OpenSSL releases」。

今天看到這個問題了,被稱為「The DROWN Attack」,全名為 Decrypting RSA with Obsolete and Weakened eNcryption,整個 internet 上大約 33% 的伺服器受到影響:

Our measurements indicate 33% of all HTTPS servers are vulnerable to the attack.

包括兩類,第一類是支援 SSLv2 的伺服器,約 17%:

It allows SSLv2 connections. This is surprisingly common, due to misconfiguration and inappropriate default settings. Our measurements show that 17% of HTTPS servers still allow SSLv2 connections.

第二類是指那些,雖然 server 不支援 SSLv2,但與第一類共用同一把 key,於是可以拿來攻擊,約 16%:

Its private key is used on any other server that allows SSLv2 connections, even for another protocol. Many companies reuse the same certificate and key on their web and email servers, for instance. In this case, if the email server supports SSLv2 and the web server does not, an attacker can take advantage of the email server to break TLS connections to the web server. When taking key reuse into account, an additional 16% of HTTPS servers are vulnerable, putting 33% of HTTPS servers at risk.

要注意的是這不只包括了 HTTPS,也包括了 POP3S 與 IMAPS,以及其他有用 SSLv2 的 server 都有受到影響。尤其是第二類會發生在小型伺服器上,mail server 與 web server 共用同一份 SSL certificate/key 的時候。

如果手上有使用 SSLv2 的 server,解法是關閉 SSLv2 (目前新的 SSL library 預設應該都是關閉),撤銷並重新申請 SSL certificate。