El servidor es vulnerable a la amenaza de devolución de Bleichenbacher (ROBOT) solo si está alojado en un software de proveedor con error de implementación RSA y el servidor admite cifrados de intercambio de claves RSA .
Consulte la lista de proveedores y parches vulnerables conocidos enlace
Nota: no todos los servidores que admiten el intercambio de claves RSA son vulnerables. Pero se recomienda deshabilitar los cifrados de intercambio de claves RSA, ya que no admite el secreto hacia adelante.
Gravedad de vulnerabilidad del robot:
Para los hosts que son vulnerables y que solo admiten el intercambio de claves de cifrado RSA, es una vulnerabilidad grave. Un atacante puede registrar pasivamente el tráfico y descifrarlo más tarde.
Pasos de mitigación:
Lo ideal es seguir los dos pasos de mitigación.
- actualiza tu servidor; los parches son proporcionados por la mayoría de los proveedores.
Si instala un parche en su servidor, será inmune a la vulnerabilidad de ROBOT.
Nota: si el parche no está disponible por parte de su proveedor, puede mitigar con el segundo paso.
- Deshabilitar los cifrados de intercambio de claves RSA (recomendado): Pero si desea mantener el soporte para los cifrados de intercambio de claves RSA.
Su servidor debe al menos admitir el secreto hacia adelante con los navegadores modernos. (mantenga los cifrados RSA al final)
Identificación de cifrados de intercambio de claves RSA:
-
SSL Labs utiliza el formato TLS_ *. Eso significa que todos los cifrados que comienzan con "TLS_RSA" en el informe.
- OpenSSL utiliza la convención de nomenclatura diferente. Todas las cifras con "Kx = RSA"