Firefox blokerer websteder med sårbare krypteringsnøgler

For at beskytte brugerne mod kryptografiske angreb, der kan kompromittere sikre webforbindelser, vil den populære Firefox-browser blokere adgangen til HTTPS-servere, der bruger svage Diffie-Hellman-nøgler.

Diffie-Hellman er en nøgleudvekslingsprotokol, som langsomt erstatter den meget brugte RSA-nøgleaftale for TLS-protokollen (Transport Layer Security). I modsætning til RSA kan Diffie-Hellman bruges sammen med TLS ephemeral modes, som giver fremad hemmeligholdelse - en egenskab, der forhindrer dekryptering af tidligere fanget trafik, hvis nøglen er sprængt på et senere tidspunkt.

Men i maj 2015 et team af forskere udtænkt et nedgraderingsangreb der kunne kompromittere krypteringsforbindelsen mellem browsere og servere, hvis disse servere understøttede DHE_EXPORT, en version af Diffie-Hellman-nøgleudveksling pålagt eksporterede kryptografiske systemer af det amerikanske nationale sikkerhedsagentur i 1990'erne og som begrænsede nøgleformatet til 512-bits. I maj var 2015 omkring 7 procent af hjemmesider på internettet sårbare over for angrebet, som blev kaldt LogJam.

"Som reaktion på den seneste udvikling, der angriber Diffie-Hellman nøgleudveksling og for at beskytte privatlivets fred for Firefox-brugere, har vi øget den minimale nøglestørrelse til TLS-håndtryk ved hjælp af Diffie-Hellman nøgleudveksling til 1023-bits," David Keeler, en Mozilla-sikkerhedsingeniør, sagde i a blogindlæg Fredag.

Et lille antal servere er stadig ikke konfigureret til at bruge stærke nok nøgler, og Firefox-brugere, der forsøger at få adgang til dem, får en fejl kaldet "ssl_error_weak_server_ephemeral_dh_key," sagde Keeler.

Ifølge en nylig undersøgelse af de bedste 140,000 HTTPS-websteder på internettet med trafik, brugte omkring 5 procent af dem nøgler mindre end 1024-bits. Den anbefalede størrelse er 2048-bits, og over 67-procenten af ​​disse websteder er i overensstemmelse med det.

Kilde

Giv en kommentar

Dette websted bruger Akismet til at reducere spam. Lær, hvordan dine kommentardata behandles.