DROWN-Angriff: SSL-Protokoll aus der Steinzeit wird Servern zum Verhängnis

Mitglied: Frank

Frank (Level 5)

01.03.2016, aktualisiert 15:39 Uhr, 1021 Aufrufe, 1 Danke

Das längst vergessene SSLv2 ist Schuld an den neuesten Drown-Attacken. Sie ermöglicht es, die verschlüsselten Verbindungen der betroffenen Server zu knacken

Einen ausführlichen Beitrag dazu findet ihr auf Golem.de:
http://www.golem.de/news/bleichenbacher-angriff-drown-entschluesselt-mi ...

Webserver Konfiguration anpassen:

Hier die Änderungen an den Konfigurationsdateien der drei großen Webserver (Lighttpd, Nginx und Apache) um SSLv2 und auch gleich SSLv3 abzuschalten. Aktuell sollte nur noch TLS aktiviert sein.

Lighttpd Webserver

Ab Version 1.4.21 ist SSLv2 nicht mehr im Lighttpd enthalten.

Nginx

Apache

Danach den Webserver-Daemon neu starten und seine Seite bei Qualys SSL Labs verifizieren (siehe Ergebnis "Protocols").

Gruß
Frank