Advertencias de seguridad

Resumen

Varios investigadores han hecho público hoy, además de una advertencia de seguridad de OpenSSL, un nuevo ataque contra HTTPS, que denominan «descifrado de RSA con cifrado obsoleto y debilitado» o «DROWN». Gracias a la configuración de TLS de Fastly, nuestros servicios, y los clientes que utilizan Fastly como CDN, no son vulnerables a este ataque.

Impacto

Ninguno. Nuestra configuración actual no quedó expuesta a DROWN.

Soluciones provisionales y permanentes

No hace falta ninguna acción por parte del cliente.

Información detallada

El aprovechamiento de la vulnerabilidad de DROWN se basa en una clave privada que se utiliza con un servidor que admite SSLv2, así como las versiones modernas del protocolo. Fastly tiene desactivados SSLv2 y SSLv3 en la configuración HTTPS del edge desde octubre de 2014 y solo admite TLS 1.0 o superior. Únicamente desplegamos la versión más actualizada de OpenSSL que esté disponible. Además, no admitimos paquetes de cifrado de grado de exportación debilitados. Las claves privadas generadas por Fastly para HTTPS, o confiadas a Fastly y destinadas a dicho protocolo, no se utilizan para ningún otro servicio cifrado (SMTP, etc.).



Los ataques basados en el aprovechamiento de criptografía obsoleta o débil desplegada para la compatibilidad con versiones anteriores siguen siendo un desafío en el mundo de la seguridad. Uno de los objetivos de Fastly es lograr el equilibrio entre la supresión rápida de la tecnología no segura y la colaboración con nuestros clientes y sus usuarios a la hora de migrar.

Más información

Encontrarás más información en la página web del ataque DROWN, en las preguntas y respuestas del autor y en la documentación técnica. El aviso de seguridad de OpenSSL de hoy contiene detalles adicionales específicos de OpenSSL.