Eine neue Schwachstelle in der SSL/TLS Kryptographie kann von Angreifern unter bestimmten Bedingungen ausgenutzt werden, um HTTPS-Verbindungen zwischen User und Server zu entschlüsseln.
Dabei handelt es sich um einen serverseitigen Angriffsvektor, der den sogenannten Diffie-Hellman-Schlüsselaustausch (DH) bei dem Aufbau einer verschlüsselten HTTPS-Verbindung betrifft.
Der Diffie-Hellman-Schlüsselaustausch ist ein Verfahren, mit dem sich ein gemeinsamer Sitzungsschlüssel zwischen zwei Kommunikationspartnern sicher über ein potenziell unsicheres Übertragungsmedium vereinbaren lässt.
Sind meine Webseiten verwundbar?
Die formalen Bedingungen für den Angriff sind erfüllt, wenn der Server die DH-Schlüssel in den TLS Versionen 1.2 und darunter wiederverwendet.
Überprüfen Sie Ihre Zertifikate auf www.ssllabs.com. Wenn der Wert „DH public server param (Ys) reuse“ auf Ihren Servern aktiviert ist („YES“), könnten Ihre Webseiten verwundbar sein.
Der Einsatz von Cipher-Suites mit einem statischen DH Schlüsselaustausch in produktiven Umgebungen ist keine Best Practice und daher nicht zu empfehlen.
Was bedeutet das für mein Unternehmen?
Der Angriffsvektor ist praktisch schwer umzusetzen, da es u. a. präzise, servernahe Messungen in der Verarbeitung von bestimmten Daten erfordert.
HTTPS Verbindungen mit TLS 1.3 werden einerseits als nicht verwundbar angenommen. Andererseits haben Länder wie China angekündigt, TLS 1.3 Verbindungen per se zu blockieren, was das inländische Aufrufen von Unternehmensseiten wiederum unmöglich macht.
Sehr gerne unterstützt Sie LEMARIT in der Optimierung und Verwaltung Ihres SSL-Zertifikatportfolios. Über unsere DNS sind die Zertifikate aufwandslos, sicher und schnell validierbar. Bestimmte Möglichkeiten zur Manipulation Ihrer Zertifikatslandschaft, wie es beispielsweise bei der E-Mail Validierung der Fall ist, sind damit ausschließbar.
Rückfragen zu Themen rund um Ihre digitale Sicherheit? Kontaktieren Sie uns gerne! Kontakt