目前有很多关于一种早已被遗忘的过时 SSL 协议的讨论 – 传输层安全协议安全套接字层 (SSLv2)。不仅如此:SSLv2 协议还可能成为当前 SSL/TLS 加密连接的真正安全风险,正如专业新闻中有关 DROWN 攻击(使用过时和弱加密解密 RSA)的报道所示。据说,甚至雅虎、Flickr、微软等许多知名网站也受到了影响。但你可以保护自己。 在 DROWN 攻击中,攻击者利用了 SSLv2 协议的弱点,该协议已经过时或不再使用(绝对),但过时和不再使用并不意味着 – 不再被允许。这正是问题所在。研究人员发现,尽管过时的 SSL 变体很少再使用,但许多 HTTPS 服务器仍然支持 SSLv2 协议,为 DROWN 攻击打开了后门。
DROWN 攻击是如何运作的
HTTPS 连接的私钥通常由多个服务器同时使用。如果这些服务器中只有一台允许 SSLv2 协议,则已发现潜在的攻击漏洞。 攻击者首先寻找潜在易受攻击 卡塔尔 电话号码 的服务器,即继续允许过时的 SSLv2 协议的服务器。一旦攻击者找到有吸引力的目标,他们首先记录通过加密连接运行的流量。如果此流量通过当前的加密协议运行,则攻击者(尚)无法读取数据传输。现在对服务器的攻击是通过 SSLv2 进行的。攻击者的目标是破解当前加密协议的预主密钥值。如果成功,攻击者可以解密所有先前记录的流量,不仅可以读取消息,还可以访问用户名、密码、信用卡详细信息、帐户详细信息等敏感数据。
DROWN 攻击怎么可能发生
目前估计高达 33% 的 HTTPS 服务器容易受到 DROWN 攻击。 资料来源如何保护自己免受 DROWN 攻击? 首先,检查您的网站是否容易受到此严重安全漏 埃及电报号码 洞的影响 在 网站上,您会发现 DROWN 检查,您可以使用它轻松检查您的域,当然还有您想要建立加密连接的网站。 图:淹没检查 进行 DROWN 攻击检查 注意: 请注意,不幸的是,此检查还包含“错误/肯定”,并且在某些情况下,例如在 hosteurope.de 的情况下,列出的端口根本不是 SSL 端口,因此并不代表 DROWN 攻击的目标。结果还保存了 2016 年 2 月的数据,由于临时更新,该数据可能已过时。 因此,单独检查每个结果非常重要! Host Europe 已经做到了这一点:hosteurope.de 和 Host Europe 的产品管理系统受到安全保护,免受 DROWN 攻击。
