Auf dem 33. Chaos Communication Congress wurde ein neuer Angriff gegen die aktuelle TLS-Verschlüsselung gezeigt.
TLS wird im Internet u.a. zur Absicherung von Zugriffen auf Webseiten und zur gesicherten Übertragung von Emails genutzt. Der sogenannte DROWN-Angriff (https://drownattack.com) ermöglicht die Entschlüsselung dieser Übertragungen in kurzer Zeit.
Grundlage für den Angriff ist, dass die meisten Server aus vermeintlichen Kompatibilitätsgründen oder häufiger aus Nachlässigkeit auch die Verwendung der veralteten SSL2-Verschlüsselung anbieten. Sinnvoll ist dies jedoch nicht, denn der Internet Explorer 6 war der letzte Browser, der SSL2 unterstützt hat – sein Nachfolger erschien bereits 2006. Es ist also kaum nachvollziehabr, weshalb Server heute noch SSL2 unterstützen.
Wenn sich dann noch ein Mailserver und ein Webserver ein Zertifikat oder nur ein Schlüsselpaar teilen, reicht eine schlechte Mailserverkonfiguration bereits aus, damit auch Webserververbindungen entschlüsselt werden können.
Zudem wurden in der verbreiteten OpenSSL-Bibliothek zwei Schwachstellen gefunden, die den Angriff weiter erleichtern.
Tests der Forscher haben gezeigt, dass ca. 28% der HTTPS-Server im Internet für diesen Angriff anfällig sind. Nutzer können nichts unternehmen, um sich zu schützen. Es ist die Aufgabe der Serverbetreiber die Unterstützung von SSL2 vollständig zu deaktivieren und die eingesetzte Software, hier also OpenSSL, regelmäßig zu aktualisieren.