Het ssl-protocol bevat een ernstige kwetsbaarheid, DROWN genaamd (Decrypting RSA using Obsolete and Weakened eNcryption). Cybercriminelen kunnen versleutelde verbindingen op internet hacken. Het zou gaan om 33% van alle https-servers, aldus onderzoekers.
Het gaat om een kwetsbaarheid in sslv2. Deze oude ssl-versie uit 1995 wordt weliswaar nog maar weinig gebruikt maar veel servers ondersteunen hem nog. Door de kwetsbaarheid kunnen moderne geëncrypte tls-verbindingen aangevallen worden door probes naar een server te sturen, die zowel sslv2 ondersteunt als dezelfde privésleutel inzet.
Privésleutel
Server lopen ook risico als de privésleutel voor andere servers wordt toegepast die sslv2-verbindingen accepteren, zelfs voor een ander protocol. Veel organisaties gebruiken hetzelfde certificaat en sleutel opnieuw. Het advies is om sslv2 uit te zetten en om privésleutels niet opnieuw te gebruiken.
Verouderde cryptografie
Op internet zijn scanners (zowel online als offline) te vinden om te checken of een domein risico loopt. Een aanval via DROWN is weliswaar relatief gecompliceerd maar kan door hackers tegen geringe kosten worden gedaan. “Jarenlang was het argument om sslv2 niet uit te schakelen dat het geen kwaad kon, omdat browsers er toch geen gebruik van maakten. Deze aanpak werkt duidelijk niet. Daarom moeten we in de toekomst ervoor zorgen dat verouderde cryptografie agressief van alle systemen wordt verwijderd”, aldus Ivan Ristic van Qualys.