11 millioner webservere er sårbare overfor nyt kritisk SSL-sikkerhedshul

Nyopdaget sårbarhed rammer ikke mindre end 11 millioner webservere. Sårbarheden hedder Drown, og problemet ligger i en gammel krypteringsmetode, som faktisk slet ikke anvendes mere. Her er forklaringen.

3. marts 2016 kl. 09.24

Artikel top billede

Nicolai Devantier Journalist

En organisation med medlemmer som Google, OpenSSL-projektet og flere store universiteter har advaret om en sårbarhed, med navnet Drown (Decrypting RSA with Obsolete and Weakened eNcryption), der rammer webservere, som anvender kryptering.

Du kan læse advarslen her.

Ifølge sikkerhedsorganisationen er problemet meget massivt for det rammer en tredjedel af alle servere, der anvender Https-protokollen til sikker kommunikation.

Det svarer til et antal på mere end 11 millioner webservere.

Sårbarheden gælder således for webservere, der anvender Https og andre tjenester, der er afhængige af Transport Layer Security og Secure Sockets Layer.

Om Https:

Kort fortalt benyttes https på sites, hvor der er udveksling af fortrolige oplysninger som brugernavne, passwords, kreditkortoplysninger. Det kunne eksempelvis være i webshops, i netbanken og hos din webmail-udbyder.

Banker og webshops har kørt med HTTPS-kryptering i flere år, efter den hedengangne browser Netscape Navigator introducerede teknologien helt tilbage i 1994.

Det skyldes, at HTTPS har den fordel, at du som bankkunde kan være nogenlunde sikker på, at det rent faktisk er din egen bank, du besøger og ikke en hjemmeside, der udgiver sig for at være din bank.

Du skal dog stadig være opmærksom på, at du er på det rette webdomæne - minbank.dk frem for minhacketbank.dk.

Derudover kan du også være ret sikker på, at ingen kan aflytte og opsnuse de pengetransaktioner, som du foretager dig på bankens hjemmeside, da al trafik mellem din browser og bankens HTTPS-certifikat vil være krypteret.

Rammer gammel svaghed

Det opsigtsvækkende ved sårbarhede er, at den egentlig ikke direkte rammer for de protokoller, der nævnes ovenfor, men handler om den gamle krypteringsprotokol SSLv2.

Denne protokol anvendes stort set ikke mere, men problemet rammer også webservere, der på grund af miskonfiguration, stadig understøtter SSLv2, hvilket altså er ganske mange.

En webserver, der kan forbinde med SSLv2 er således åben for Drown, hvilket gælder 17 procent af de webservere, der benytter Https.

Du kan læse meget mere om de usikre protokoller her: Efter ny kritisk sårbarhed: Drop nu SSL

Men der er flere problemer.

Selv om webserveren ikke tillader SSLv2, så rækker det, hvis mail-serveren gør det. Så kan en Transport Layer Security-tilslutning til webserveren hackes, hvis krypteringsnøgler genbruges mellem forskellige servere.

Opdagelsen er helt dugfrisk, så er der er endnu ingen eksempler på, at sårbarheden er blevet udnyttet af skumle personager.

Løsningen på problemet ligger hos administratorerne, der skal sikre, at private nøgler ikke anvendes på de servere eller den software, som støtter SSLv2. Det gælder eksempelvis smtp-, imap- og pop-servere.

Du kan finde et værktøj, der kan analysere om dine servere er sårbare her, hvor der også er en guide til at fjerne problemerne.

Der er mere læsning om SSL her: Kritisk SSL-hul er bombe under internet-sikkerheden og i denne historie: Slem brist i SSL-protokol åbner for avanceret angreb.

Læs også:
Sådan bryder hackere internet-kryptering

Guide: Sådan gør du din hjemmeside sikker med HTTPS

Efter ny kritisk sårbarhed: Drop nu SSL

Artikel teaser billede

Kunstig intelligens

Har Microsoft halveret sine salgsmål for AI-løsninger? Selskabet afviser

Seneste nyt

|Vis seneste uge

Opsigtsvækkende jobskifte: Mark Zuckerberg stjæler Apples topdesigner

Artikel teaser billede

Indien bøjer sig for presset: Dropper krav om statslig sikkerheds-app på smartphones

Artikel teaser billede

Morgen-briefing

Morgen-briefing: Anthropic kan stå foran kæmpe børsnotering til næste år / Spotify Wrapped er landet / Danske Napatech ansætter ny topchef

Artikel teaser billede

Selvkørende biler

Fra sci-fi til Slotspladsen: Derfor er den selvkørende bil tættere på at samle dig op, end du tror

Læses lige nu

Artikel teaser billede

AI-lab #14: De fleste glemmer at bruge én genial funktion, når de bruger AI: Sådan udnytter du den bedst

Annonce

Er I klar til at tage næste skridt på den digitale retailrejse?

Er I klar til at tage næste skridt på den digitale retailrejse?

Whitepaper

Er I klar til at tage næste skridt på den digitale retailrejse?

Sikre og skalerbare datacentre med fokus på drift, energi og fremtid

Sikre og skalerbare datacentre med fokus på drift, energi og fremtid

Whitepaper

Sikre og skalerbare datacentre med fokus på drift, energi og fremtid

Revolutionér kundeoplevelsen med AI og automatisering

Revolutionér kundeoplevelsen med AI og automatisering

Whitepaper

Revolutionér kundeoplevelsen med AI og automatisering

Se flere whitepapers

Artikel teaser billede

Forretningssoftware

Oracles danske overskud er mere end halveret, og omsætningen dykker: Her er årsagen

Artikel teaser billede

Bog: Er dine tanker stadig dine egne?

Netcompany A/S

Linux Operations Engineer

Københavnsområdet

Schilling ApS

Support Specialist

Københavnsområdet

BEC

Region Sjælland

Netcompany A/S

Data Management Consultant

Midtjylland

Se flere it-stillinger

Artikel teaser billede

Cloud computing

Nu skal der fart på i Danmark: T-Systems europæiske cloud-løsning skal for alvor ud over rampen

Artikel teaser billede

Kunstig intelligens

Guldager: Gør dig klar til den nye browserkrig - med brugerne som det ultimative offer

Artikel teaser billede

Ny mulighed fra Amazon: Byg nemt dit eget AI-datacenter hjemme ved dig selv

Navnenyt fra it-Danmark

IT Confidence A/S har pr. 1. oktober 2025 ansat Johan Léfelius som it-konsulent. Han skal især beskæftige sig med med support, drift og vedligeholdelse af kunders it-miljøer samt udvikling af sikre og stabile løsninger. Han kommer fra en stilling som kundeservicemedarbejder hos Telia Company Danmark A/S. Han er uddannet (under uddannelse) som datatekniker med speciale i infrastruktur. Han har tidligere beskæftiget sig med kundeservice, salg og teknisk support.

Nyt job

Johan Léfelius

IT Confidence A/S

Tanja Schmidt Larsen, Director, Legal & Compliance hos Sentia A/S, er pr. 1. december 2025 forfremmet til Chief Operations Officer (COO). Hun skal fremover især beskæftige sig med synergi mellem kommercielle og tekniske processer samt sikre en sammenhængende kunderejse og fortsat driftsstabilitet.

Forfremmelse

Tanja Schmidt Larsen

Sentia A/S

Norriq Danmark A/S har pr. 1. september 2025 ansat Søren Vindfelt Røn som Data & AI Consultant. Han skal især beskæftige sig med at effektivisere, planlægge og implementere innovative, digitale løsninger for Norriqs kunder. Han kommer fra en stilling som Co-founder & CMO hos DrinkSaver. Han er uddannet Masters of science på Københavns IT-Universitet.

Nyt job

Søren Vindfelt Røn

Norriq Danmark A/S

Industriens Pension har pr. 3. november 2025 ansat Morten Plannthin Lund, 55 år, som it-driftschef. Han skal især beskæftige sig med it-drift, it-support og samarbejde med outsourcingleverandører. Han kommer fra en stilling som Head of Nordic Operations Center hos Nexi Group. Han er uddannet HD, Business Management på Copenhagen Business School. Han har tidligere beskæftiget sig med kritisk it-infrastruktur og strategiske it-projekter.

Nyt job

Morten Plannthin Lund

Industriens Pension

Se mere fra navnenyt

Artikel teaser billede

Banktopchef er tilhænger af fusion mellem bankcentraler: Det er noget alle kan se fornuften i

Artikel teaser billede

Kunstig intelligens

Jeg sidder få meter fra en af verdens mest magtfulde it-folk - noget nyt er ved at ske i AWS

Artikel teaser billede

Den danske topchef Claus Thorsgaard står i spidsen for to opkøb i udlandet og en fusion af tre danske brands

Artikel teaser billede

Du kan ikke planlægge dig ud af det uventede

Artikel teaser billede

Cloud computing

Ny stor cloud-tendens er over os: Danmark er blevet et eftertragtet marked

Artikel teaser billede

Cloud computing

Nu udfordrer Amazon også Nvidia: Her er den nye kraftfulde Titantium 3-chip

Computerworld

Opinion

Artikel teaser billede

Outsourcing til Indien: En tikkende bombe under bankernes digitale strategi?

Artikel teaser billede

AI-sikkerhed er ikke raketvidenskab, men myterne gør det svært

Nørgaard: Dundertale til nationen - er der overhovedet nogen, der kan tage en beslutning?

AI-personaer bliver et konkurrenceparameter - hvis du forstår at bygge dem rigtigt

De danske virksomheder virker ikke særligt bekymrede over manglende digital suverænitet

Artikel teaser billede

Du kan forøge værdien af din ERP-løsning markant med en kort og skarp playbook: Her er opskriften

Artikel teaser billede

Viborg Kommune viser, hvordan en offentlig ledelse kan sætte standard for brug af kunstig intelligens

Artikel teaser billede

Nørgaard: En ny spiller blander sig i den mægtige nordiske krig om open source og digital selvstændighed

Artikel teaser billede

AI-investeringer finansieres med gæld for billioner af kroner: Nu advarer centralbank om at boblen kan briste

Annonce

Stor kortlægning: Her er de 100 mest magtfulde it-personer i Danmark - se hele listen her

Mest læste

1 Jeg sidder få meter fra en af verdens mest magtfulde it-folk - noget nyt er ved at ske i AWS

2 Fra sci-fi til Slotspladsen: Derfor er den selvkørende bil tættere på at samle dig op, end du tror

3 Pris-chok: For tre måneder siden købte jeg 96 gigabyte ram for 1400 kroner – nu er prisen mere end seksdoblet

4 Ny stor cloud-tendens er over os: Danmark er blevet et eftertragtet marked

5 Guldager: Gør dig klar til den nye browserkrig - med brugerne som det ultimative offer

6 Mange millioner smartphones får snart tvangsinstalleret en statlig sikkerheds-app, der bliver umulig at slette

7 AI-lab #14: De fleste glemmer at bruge én genial funktion, når de bruger AI: Sådan udnytter du den bedst

8 Vi tester 5G i Danmark: Her er dommen over de fire store udbydere af mobilt bredbånd og deres 5G-løsninger