Die DROWN (Decrypting RSA using Obsolete and Weakened eNcryption) Sicherheitslücke (CVE-2016-0800) betrifft nicht nur Systeme, die SSLv2 verwenden. Auch Server, die mit einem Zertifikat versehen sind, welches den gleichen privaten Schüssel verwendet, mit dem auch das Zertifikat eines anderen, per SSLv2 erreichbaren Servers erzeugt wurde, sind angreifbar.

SSLv2 gilt bereits seit Jahren als nicht hinreichend sicher und ist dementsprechend auf Cryptshare Servern im Auslieferungszustand bereits seit geraumer Zeit deaktiviert. Es besteht für Kunden allerdings die Möglichkeit, die SSL-Konfiguration anzupassen und SSLv2 zu aktivieren, um bspw. den Support für ältere Browser zu ermöglichen.

Ferner existiert auch dann ein Risiko, wenn auf einem Web-Server zwar SSLv2 deaktiviert ist, der Server jedoch ein Zertifikat mit dem gleichen privaten Schlüssel verwendet, der auch auf einem anderen Server zum Einsatz kommt, der aktuell per SSLv2 kontaktierbar ist. Dieses Risiko besteht beispielsweise bei Verwendung von Wildcard-Zertifikaten.

Es wird daher dringend empfohlen, beide Kriterien zu prüfen und die SSL-Konfiguration des Cryptshare Servers entsprechend anzupassen und/oder das Zertifikat zu ersetzen.

Für eine schnelle Prüfung, ob ein Server in Ihrern Domäne durch DROWN angreifbar ist, empfehlen wir den Test unter https://drownattack.com. Bitte beachten Sie, dass die hier gezeigten Ergebnisse keine Ergebnisse eines live Tests sind, sondern eine Momentaufnahme darstellen, die im Februar 2016 erzeugt wurde.

Die aktuelle SSL-Konfiguration Ihres Cryptshare Servers können Sie unter https://www.ssllabs.com/ssltest/index.html prüfen lassen. Wir empfehlen bei der Abfrage die Option zu aktivieren, die Testergebnisse nicht auf der Website von Qualys SSL Labs zu publizieren.