BLOGGAT - DROWN-ATTACKER OCH WILDCARDCERTIFIKAT - Advitum

BLOGGAT – DROWN-ATTACKER OCH WILDCARDCERTIFIKAT

Publicerad 12 december 2016 i Okategoriserad av Markus Persson
Seth Lindholm, Advitum

Seth Lindholm, Advitum

DROWN står för “Decrypting RSA with Obsolete and Weakened eNcryption”.

Vad är det då DROWN-attacker? den frågan ställde jag mig själv för ett tag sedan när vi säkerhetstestade en publicerad webbsida. Tyckte det var konstigt att vi fick så dåliga värden vid penetrationstesten vi gjorde mot sidan efter att den publicerats. Vi hade ju gjort allt vi kunde för att det skulle fungera optimalt med Netscaler. Vi hade konfigurerat vilka cipher groups som fick användas, sett till att det var SSL av senaste modell som användes i HTTPS trafiken, och i och med det plockat bort möjligheten att upprätta sessioner med äldre versioner som t.ex. SSLv2.

Trorts detta får vi fortfarande låga värden när vi undersöker säkerheten i våra https sessioner!

Det visar sig att vi använder ett wildcardcert, som så många andra, för att publicera lite allt möjligt. Inte så konstigt tänker man, det är ju en av orsakerna till att köpa ett wildcard-certifikat, man vill slå ut den ökade kostnaden genom att kunna använda det på flera olika ställen samt naturligtvis förenkla administrationen. Inget fel med det.

Men som vi ser finns det en möjlig säkerhetslucka i att använda wildcard på detta vis. DROWN attacken utnyttjar det faktum att wildcardcert finns på fler än en webbserver. Om man har två webbsidor publicerade med samma wildcard-certifikat och man tillåter SSL att ansluta mot en av dem men har glömt att på servernivå slå av möjligheten att kommunicera över de äldre versionerna av SSL. Då utsätter man inte bara den server som man glömt konfigurera säkerheten på, utan även den server som är härdad men som råkar ha samma wildcardcert med samma nyckel installerad. Den privata nyckeln kommer inte ut så det finns flera sätt att lösa detta.

Detta är ett stort problem för de som nyttjar wildcard-certifikat och om ni vill ha hjälp med en väg framåt samt kontrollera om ni har problem med era wildcardcertifikat får ni gärna kontakta Advitum så berättar vi mer

Vill ni själva läsa mer om problemet finns det mer bra information på SSL labs

Tillbaka till nyheter

Prenumerera på Advitums nyhetsbrev

Om du väljer att prenumerera på vårt nyhetsbrev kommer du att erhålla information om vad som händer på Advitum, våra utbildningar och kundevent, nyttiga blogginlägg och viktiga produktnyheter. Självklart kan du säga upp din prenumeration med en enkel knapptryckning.