Naar aanleiding van de DROWN-aanval op versleutelde https-verbindingen die gisteren werd onthuld heeft het Nationaal Cyber Security Center (NCSC) advies uitgebracht waarin it-beheerders, it-managers en informatiebeveiligers wordt opgeroepen om ssl 2.0 uit te schakelen en OpenSSL te upgraden.

De DROWN-aanval maakt gebruik van een kwetsbaarheid in het ssl 2.0-protocol, dat nog altijd door veel servers wordt ondersteund. Daarnaast kunnen servers die een kwetsbare versie van OpenSSL gebruiken op dezelfde manier worden aangevallen, ongeacht of ze ssl 2.0 ondersteunen. Een aanvaller die het met tls-versleutelde netwerkverkeer tussen een server en gebruiker weet te onderschappen kan via de aanval proberen om de versleutelde informatie te achterhalen.

Het NCSC adviseert om tls altijd te configureren op basis van de ict-beveiligingsrichtlijnen voor dit encryptieprotocol. "Schakel daarom ssl 2.0 uit, installeer de recentste updates van OpenSSL en geef op servers de voorkeur aan cipher suites op basis van forward secrecy", aldus een vandaag gepubliceerde factsheet (pdf). Volgens het NCSC zou het uitschakelen van ssl 2.0 op servers geen negatieve gevolgen moeten hebben voor de werking van ict-systemen. Daarnaast wordt het hergebruik van geheime sleutels tussen servers afgeraden, aangezien beveiligde verbindingen ook op deze manier kunnen worden aangevallen.

Vanwege de DROWN-aanval kwamen ook het CERT Coordination Center (CERT/CC) van de Carnegie Mellon Universiteit en het Computer Emergency Readiness Team van de Amerikaanse overheid (US-CERT) met een waarschuwing, waarin ook wordt aangeraden om ssl 2.0 uit te schakelen en encryptiesleutels niet te hergebruiken. Naar schatting zou 33% van alle https-servers op het internet voor de nieuwe aanval kwetsbaar zijn.