Bulunan bu zafiyet sayesinde şifreli ağ trafiğinin dinlenmesi mümkün oluyor. Internet üzerinde 13 milyondan fazla sunucunun etkinlendiği tahmin edilen bu zafiyet ile şifreli trafik kırılarak dinlenebiliyor bu şifre ve kredi kartı numaralarını tehlikeye atıyor.

Alexa verilerine göre oluşturulan Drown açığına karşı savunmasız kalan en çok ziyaretçiye sahip internet siteleri arasında Yahoo, Alibaba, Weibo, BuzzFeed, Weather.com, Flickr ve Samsung yer alıyormuş. OpenSSL için yayınlanan bir güncellemeyle açığa çıkan güvenlik zaafı hali hazırda yayınlanmış bir yamayla kapatılmış durumdayken, açıktan faydalanma büyük ölçüde önemsiz hale getirildi.

DROWN açığı saldırganlara HTTPS’yi deşifre etme imkanı sağlıyor ve kurban bilgisayar ile diğer ağ araçları arasına girerek verileri yakalama ve şifrelenmemiş verileri görebilme, yani etkin bir Man-in-the-Middle (Ortadaki Adam) saldırısı düzenlemesine olanak tanıyor.

Bazı kaynaklardan okuduğum bilgilere göre hemen hemen SSL kullanan sitelerin 3/1 inde bu zaafiyet bulunmaktaymış.

Sitenizde bu zaafiyetin olup olmadığını kontrol etmek için BURAYA Tıklayarak  kontrol edebilirsiniz.. Zaafiyet Hakkında daha fazla bilgiye ulaşmak için drownattack ziyaret edebilirsiniz.

PEKİ BU ZAAFİYETİ NASIL KAPATIRIZ ? Çözüm önerim şu ;

SSLv2’nin engellenmiş olduğu veya özel anahtarınızın bir başka sunucuda paylaşılmamış olduğundan emin olmalısınız.. Zaafiyet altında olan sitelerin yeniden sertifika almalarına ihtiyaç yok

Ve kesinlikle openssl sürümünüzü güncelleyiniz. Güncelleme işleminden sonra yukarıda verdiğim link üzerinden yeniden test ediniz.