Sicherheitshinweise

Zusammenfassung

Zusammen mit einem OpenSSL-Sicherheitshinweis haben heute verschiedene Forscher eine neue Art von Angriff auf HTTPS bekannt gegeben, den sie „Decrypting RSA with Obsolete and Weakened Encryption“ oder auch DROWN, nennen. Aufgrund der bestehenden TLS-Konfiguration von Fastly sind unsere Services und Kunden, die Fastly als CDN nutzen, nicht anfällig für diesen Angriff.

Auswirkungen

Keine. Unsere bestehende Konfiguration war nicht anfällig für DROWN.

Fix/Behelfslösung

Ein Eingreifen des Kunden ist nicht erforderlich.

Einzelheiten

Das Ausnutzen der DROWN-Schwachstelle setzt voraus, dass ein privater Schlüssel auf einem Server verwendet wird, der neben den modernen Protokollversionen auch SSLv2 unterstützt. Fastly hat SSLv2 und SSLv3 in seiner Edge-HTTPS-Konfiguration seit Oktober 2014 deaktiviert und unterstützt nur noch TLS 1.0 und nachfolgende Versionen. Wir setzen ausschließlich die aktuellste verfügbare OpenSSL-Version ein. Ebenso unterstützen wir keine abgeschwächten exporttauglichen Cipher-Suites. Private Schlüssel, die von Fastly für HTTPS generiert oder Fastly anvertraut wurden, werden nicht für andere verschlüsselte Services (SMTP etc.) verwendet.



Angriffe, die sich auf die Ausnutzung veralteter oder schwacher Kryptografie konzentrieren, die aus Gründen der Abwärtskompatibilität eingesetzt wird, bleiben eine Herausforderung für die Sicherheitsbranche. Fastly hat sich zum Ziel gemacht, ein Gleichgewicht zu finden, das unsichere Technologien schnell beseitigt. Gleichzeitig arbeiten wir mit unseren Kunden und deren Nutzern an der Migration.

Weitere Informationen

Mehr darüber erfahren Sie auf der DROWN-Attack-Homepage, in den Q&A des Verfassers und der technischen Abhandlung. Der heutige OpenSSL-Sicherheitshinweis enthält zusätzliche Details speziell für OpenSSL.