Sicherheitshinweise

DROWN-Angriff und Fastly

1. März 2016

Zusammenfassung


Zusammen mit einem OpenSSL-Sicherheitshinweis haben heute verschiedene Forscher eine neue Art von Angriff auf HTTPS bekannt gegeben, den sie „Decrypting RSA with Obsolete and Weakened Encryption“ oder auch DROWN, nennen. Aufgrund der bestehenden TLS-Konfiguration von Fastly sind unsere Services und Kunden, die Fastly als CDN nutzen, nicht anfällig für diesen Angriff.




Auswirkungen


Keine. Unsere bestehende Konfiguration war nicht anfällig für DROWN.




Fix/Behelfslösung


Ein Eingreifen des Kunden ist nicht erforderlich.




Einzelheiten


Das Ausnutzen der DROWN-Schwachstelle setzt voraus, dass ein privater Schlüssel auf einem Server verwendet wird, der neben den modernen Protokollversionen auch SSLv2 unterstützt. Fastly hat SSLv2 und SSLv3 in seiner Edge-HTTPS-Konfiguration seit Oktober 2014 deaktiviert und unterstützt nur noch TLS 1.0 und nachfolgende Versionen. Wir setzen ausschließlich die aktuellste verfügbare OpenSSL-Version ein. Ebenso unterstützen wir keine abgeschwächten exporttauglichen Cipher-Suites. Private Schlüssel, die von Fastly für HTTPS generiert oder Fastly anvertraut wurden, werden nicht für andere verschlüsselte Services (SMTP etc.) verwendet.



Angriffe, die sich auf die Ausnutzung veralteter oder schwacher Kryptografie konzentrieren, die aus Gründen der Abwärtskompatibilität eingesetzt wird, bleiben eine Herausforderung für die Sicherheitsbranche. Fastly hat sich zum Ziel gemacht,
ein Gleichgewicht zu finden, das unsichere Technologien schnell beseitigt. Gleichzeitig arbeiten wir mit unseren Kunden und deren Nutzern an der Migration.




Weitere Informationen


Mehr darüber erfahren Sie auf der DROWN-Attack-Homepage, in den Q&A des Verfassers und der technischen Abhandlung. Der heutige OpenSSL-Sicherheitshinweis enthält zusätzliche Details speziell für OpenSSL.

Melden Sie sich für die Sicherheitshinweise an.

Mit der Übermittlung Ihrer Anfrage erklären Sie sich damit einverstanden, dass Ihre personenbezogenen Daten zur Verarbeitung gemäß unserer Datenschutzrichtlinie an Fastly in den USA übermittelt werden.

Sie möchten loslegen?

Setzen Sie sich mit uns in Verbindung oder erstellen Sie einen Account.