DROWN-Angriff: SSL-Protokoll aus der Steinzeit wird Servern zum Verhängnis
Das längst vergessene SSLv2 ist Schuld an den neuesten Drown-Attacken. Sie ermöglicht es, die verschlüsselten Verbindungen der betroffenen Server zu knacken
Einen ausführlichen Beitrag dazu findet ihr auf Golem.de:
http://www.golem.de/news/bleichenbacher-angriff-drown-entschluesselt-mi ...
Webserver Konfiguration anpassen:
Hier die Änderungen an den Konfigurationsdateien der drei großen Webserver (Lighttpd, Nginx und Apache) um SSLv2 und auch gleich SSLv3 abzuschalten. Aktuell sollte nur noch TLS aktiviert sein.
Lighttpd Webserver
Ab Version 1.4.21 ist SSLv2 nicht mehr im Lighttpd enthalten.
Nginx
Apache
Danach den Webserver-Daemon neu starten und seine Seite bei Qualys SSL Labs verifizieren (siehe Ergebnis "Protocols").
Gruß
Frank
http://www.heise.de/newsticker/meldung/DROWN-Angriff-SSL-Protokoll-aus- ...
Einen ausführlichen Beitrag dazu findet ihr auf Golem.de:
http://www.golem.de/news/bleichenbacher-angriff-drown-entschluesselt-mi ...
Webserver Konfiguration anpassen:
Hier die Änderungen an den Konfigurationsdateien der drei großen Webserver (Lighttpd, Nginx und Apache) um SSLv2 und auch gleich SSLv3 abzuschalten. Aktuell sollte nur noch TLS aktiviert sein.
Lighttpd Webserver
ssl.use-sslv2 = "disable"
ssl.use-sslv3 = "disable"
Ab Version 1.4.21 ist SSLv2 nicht mehr im Lighttpd enthalten.
Nginx
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
Apache
SSLProtocol all -SSLv2 -SSLv3
Danach den Webserver-Daemon neu starten und seine Seite bei Qualys SSL Labs verifizieren (siehe Ergebnis "Protocols").
Gruß
Frank
http://www.heise.de/newsticker/meldung/DROWN-Angriff-SSL-Protokoll-aus- ...
Please also mark the comments that contributed to the solution of the article
Content-Key: 297807
Url: https://administrator.de/contentid/297807
Printed on: April 27, 2024 at 01:04 o'clock