Comment savoir si votre serveur SSL est vulnérable à la faille DDos ?
Depuis quelques jours on ne parle plus de ça : il est possible de (très) facilement faire tomber des serveurs via une faille du protocole SSL. Très rapidement, et sans rentrer dans les détails, une groupe de hacker allemand (THC) a publié un outil permettant d’exploiter rapidement une faille du protocole SSL connue depuis 2003 (et jamais corrigée). Cette faille tire son origine dans le fait qu’une négociation SSL demande 15 fois plus de puissance au serveur qu’au client.
L’outil publié permet de surcharger les serveurs de son choix en renégociations.
Exemple : ici, un serveur de test non protégé (acceptant la renégociation). Après quelques secondes, la charge du serveur commençait déjà à monter : j’ai volontairement arrêté le test. Que dire d’un hacker avec un nombre important de machines à sa disposition ?
Exemple : ici, un serveur de test protégé (avec la renégociation désactivée).
Mais comment savoir rapidement (comprendre « sans vérifier la configuration ») si votre serveur est vulnérable ou protégé ?
SSL Labs (Qualys) fournit un outil de test, SSL Server Test : celui-ci décrypte et analyse votre configuration SSL. Il suffit d’indiquer l’adresse du serveur, et d’attendre quelques secondes.
Pour un serveur avec la renégociation désactivée, le résultat est assez différent :
Le test se situe sur cette page : SSL Server Test.
Note : désactiver la renégociation ne corrige pas la faille, mais permet de restreindre fortement son utilisation.
Pas de commentaire
Pas encore de commentaire.
Désolé, les commentaires sont fermés pour le moment.