Die Sicherheitsprobleme mit SSL und TLS scheinen endlos zu sein… Nach Poodle, Ghost und wie sie alle heißen, steht nun “Drown” vor der Türe.
Hierbei werden bekannte Schwächen in SSLv2 verwendet, um die Verschlüsselung moderner Verfahren wie TLS 1.2 zu knacken. Damit kann auch auch aufgezeichneter Datenverkehr nachträglich entschlüsselt werden.
Weitere technische Hintergründe gibt es z.B. bei heise .
Aktuelle Auswertungen zeigen, dass erschreckend viele Server noch SSLv2 aktiviert haben. Über folgende Website kann getestet werden, ob der eigene Server betroffen ist:
Als Lösungsweg bleibt nur, SSLv2 komplett zu deaktivieren. Das Entfernen von Ciphers alleine hilft nicht. Das SSLv2 sehr alt ist, sollte das kein Problem sein.
Wenn man gerade dabei ist, könnte man sich auch gleich die weiteren SSL-Einstellungen und das Rating prüfen – um auf ein A-Level zu kommen.
In AXIGEN muss hierzu einfach der entsprechende Haken entfernt werden:
