Eseguiamo un test SSL contro il nostro server di pagamento. Una delle osservazioni è che è vulnerabile all'attacco DROWN e il rapporto mostra che ci sono 2 dei nostri server che condividono la stessa chiave privata SSL con il nostro server di pagamento.
L'amministratore di sistema mi dice che non è possibile.
Domanda: come dimostrare che questi 2 server condividono la chiave privata con il nostro server di pagamento?
DROWN non significa che i tuoi server condividono la stessa chiave privata (dovresti copiare e incollare le chiavi da un server all'altro, più lavoro che non generarne una nuova) DROWN tratta dell'impiego di cifrari deboli come i cifrari di esportazione SSLv2 in cui gli attacchi noti possono portare a una decrittazione del traffico. Ti suggerirei di leggere questo:
Come puoi dimostrarlo? Dai un'occhiata alla configurazione TLS dei tuoi server vulnerabili: vedrai che i cifrari legacy sono in uso nella tua configurazione (se no, forse è un falso positivo).
Leggi altre domande sui tag tls