02.03.2016 Новости технологий

Уязвимость DROWN – новая глобальная угроза

Международная группа исследователей из США, Германии и Израиля опубликовала информацию об опасной уязвимости, потенциально позволяющей злоумышленникам перехватывать и подменять данные, защищенные SSL и TLS шифрованием, которое использует соединение HTTPS. Уязвимость получила название DROWN (Decrypting RSA with Obsolete and Weakened eNcryption), и многие аналитики ставят ее в один ряд с такими масштабными угрозами последнего времени как HEARTBLEED и POODLE.

Проблема коренится не в самих протоколах шифрования SSL и TLS, а в протоколе SSLv2. Он был официально признан устаревшим еще в 2011 году. Однако значительное число серверов по умолчанию сегодня настроены таким образом, что поддерживают его использование. Это и дает возможность атаки. Она является технически сложной и требует серьезных усилий: киберпреступникам необходимо направить десятки тысяч SSLv2-запросов, а затем несколько часов анализировать ответы сервера. Однако в результате этих трудов они получают ключ шифрования и могут затем перехватывать и видоизменять защищенный HTTPS-трафик. По оценкам авторов исследования, для этой работы не требуются суперкомпьютеры: достаточно, например, аренды облачных вычислительных мощностей в Amazon EC2. Это обойдется примерно в 440 долларов, но если учесть, что HTTPS-шифрованием защищены, скажем, веб-ресурсы крупнейших банков, то игра определенно стоит свеч. Более того, если соединение использует устаревшие версии протоколов SSL и TLS, задача злоумышленников намного упрощается, и вся атака может занять лишь несколько минут.

По данным авторов работы, уязвимость DROWN реально угрожает трети всех сайтов, использующих HTTPS-соединение, и четверти из миллиона крупнейших ресурсов глобальной сети. Свои данные ученые опубликовали уже после того, как уведомили о проблеме разработчиков. Поэтому вчера были выпущены обновления библиотеки OpenSSL 1.0.1s и 1.0.2g, устраняющие уязвимость. Кроме того, системным администраторам необходимо отключить на серверах поддержку SSLv2. Проверить, подвержен ли сервер DROWN-атаке, можно на посвященном уязвимости официальном сайте test.drownattack.com.

13.05.2026 Новости компании

В России меняются требования к идентификации администраторов доменов в зонах .ru/.рф/.su

С 1 сентября 2026 года в России вводится обязательная идентификация администраторов доменов в зонах .ru, .рф и .su через портал «Госуслуги» (ЕСИА). Такая норма закреплена в Федеральном законе от 29.12.2025 № 569-ФЗ. С момента вступления в силу новых требований зарегистрировать домен или продлить существующий можно будет только после подтверждения личности с помощью верифицированного аккаунта на «Госуслугах».

13.05.2026 Новости компании

ЦС ТЦИ расширил линейку сертификатов и поддержал новые требования CA/Browser Forum

Центр сертификации ТЦИ расширил линейку TLS-сертификатов. Теперь наряду с привычными вариантами на 90 и 365 дней пользователям доступны сертификаты сроком на 199 дней. Это соответствует новым требованиям организации CA/Browser Forum, которая с 15 марта 2026 года установила максимальный срок действия публичных TLS-сертификатов в 200 дней.

28.04.2026 Новости компании

Стартовал прием заявок на конкурс «DOT-журналистика»

«Технический центр Интернет» стал партнером 14-го конкурса для профессиональных и начинающих журналистов «DOT-журналистика 2026». Конкурс проводится Координационным центром доменов .RU/.РФ и Российской ассоциацией электронных коммуникаций.

20.04.2026 Новости компании

В зонах .RU и .РФ нормализовано 226 тыс. контактов администраторов доменов из более чем 6,5 млн

«Технический центр Интернет» представил промежуточные результаты нормализации контактных данных в реестре доменных имён в зонах .RU и .РФ по состоянию на начало апреля 2026 года. В двух зонах суммарно нормализовано 226 008 контактов, на которые приходится 459 731 домен, тогда как ненормализованными остаются 6 358 079 контактов и 6 451 873 домена.

Уязвимость DROWN – новая глобальная угроза

Контакты

Клиентская служба