FREAK
En otros momentos he hablado sobre las limitantes que existían en los 90’s para exportar cifrado a otros países por restricciones impuestas en USA, estas restricciones se le han regresado, el problema de FREAK es algo similar a Poodle donde se obligaba al servidor a usar protocolos ahora inseguros como SSLv3, de la misma forma FREAK aunque use TLS es obligado a que el método de cifrado sea débil por el bloque de protocolos débiles aprobados por USA que irónicamente al ser parte del repositorio de los programas hechos en USA se vuelven contra ellos mismos. Pues un atacante puede obligar al servidor y al cliente que usen cifrados débiles.
La solución sigue siendo sencilla, es mas esto ni siquiera es una vulnerabilidad como tal, como en Poodle, simplemente se le indica al servidor que no use cifrados de bajo nivel incluso que simplemente los niegue si los solicitan, dejando disponible solo conexiones en cifrados razonablemente seguros en el 2015.
En Apache la configuración es:
SSLProtocol All -SSLv2 -SSLv3
SSLHonorCipherOrder on
SSLCipherSuite HIGH:MEDIUM:!RC4!aNULL:!eNULL:!LOW:!3DES:!MD5:!EXP:!PSK:!SRP:!DSS
Esta configuración le da la siguiente calificación a la cueva del dragón en cuanto a seguridad de transmisión de datos.
La calificación podría ser más alta, pero me niego a modificar valores que considero innecesarios y muy paranoicos y que finalmente terminaran siendo mala idea en la cueva del dragón como el Strict Transport Security (HSTS)
Sitio para probar FREAK
https://tools.keycdn.com/freak
Sitio para probar la calidad del cifrado