Hvorfor RC4, 3DES og gamle ciphers er farlige

"Det er kun en fallback for gamle klienter" er den farligste sætning i TLS-konfiguration. RC4, 3DES, CBC-suites og export-ciphers er ikke bare langsomme eller gammeldags — de har konkrete, navngivne angreb imod sig, og deres blotte tilstedeværelse kan trække en ellers sikker server ned. Her er hvad der er galt med hver, hvilke angreb der rammer dem, og hvordan du fjerner dem.

Kort svar

RC4 har statistiske svagheder der lader en angriber gendanne klartekst; 3DES er sårbar over for SWEET32-kollisionsangrebet på grund af sin lille 64-bit blokstørrelse; CBC-suites i TLS 1.0/1.1 blev ramt af BEAST og POODLE; og export-ciphers (med bevidst svækkede nøgler) muliggjorde FREAK og Logjam. Alle bør fjernes helt — ikke beholdes som fallback. Brug i stedet AEAD-ciphers (AES-GCM, ChaCha20-Poly1305).

RC4 — gendannelig klartekst

RC4 er en stream cipher med statistiske skævheder: visse bytes i nøglestrømmen er en anelse mere sandsynlige end andre. Med nok optagede sessioner af samme klartekst (fx en session-cookie der sendes igen og igen) kan en angriber statistisk gendanne den. Det var engang en anbefalet kur mod BEAST — en bitter ironi, for det viste sig at være værre. RC4 er nu forbudt i alle moderne TLS-konfigurationer.

3DES — SWEET32 og 64-bit blokke

3DES krypterer i 64-bit blokke. Det lyder harmløst, men det betyder at efter ca. 32 GB data på samme nøgle bliver det statistisk sandsynligt at to blokke kolliderer — og en kollision lækker information om klarteksten. SWEET32-angrebet udnytter præcis dette mod langlivede forbindelser. Moderne ciphers som AES bruger 128-bit blokke, hvor grænsen ligger astronomisk højt.

CBC-suites — BEAST og POODLE

CBC (Cipher Block Chaining) er en krypteringsmodus, ikke en cipher i sig selv, men CBC-suites i TLS 1.0/1.1 havde en forudsigelig initialiseringsvektor (BEAST) og var sårbare over for padding oracle-angreb (POODLE i SSL 3.0). Problemet er strukturelt: CBC adskiller kryptering og autentificering, hvilket åbner for manipulation. AEAD-ciphers løser det ved at kombinere de to. CBC-suites i TLS 1.2 er ikke lige så slemme, men der er ingen grund til at beholde dem når AEAD er tilgængelig.

Export-ciphers — FREAK og Logjam

I 1990'erne krævede amerikansk eksportlovgivning bevidst svækkede "export grade"-ciphers med 512-bit RSA eller DH. De blev aldrig helt fjernet fra biblioteker, og i 2015 viste FREAK og Logjam at en angriber kunne tvinge en server ned til de svage nøgler og bryde dem på timer. Lærdommen: en svag cipher der bare ligger i konfigurationen som mulighed er en aktiv risiko, ikke en sovende.

Angrebene samlet

Angreb	Rammer	Problem
SWEET32	3DES, Blowfish	64-bit blok-kollision
BEAST	CBC i TLS 1.0	Forudsigelig IV
POODLE	CBC i SSL 3.0	Padding oracle
FREAK / Logjam	Export RSA/DH	Tvungen svag nøgle
RC4-bias	RC4	Statistisk klartekst-lækage

Find dem på din server

# Lister alle accepterede suites med karakter — kig efter RC4/3DES/CBC/EXPORT
nmap --script ssl-enum-ciphers -p 443 example.com

# testssl tjekker specifikt for de navngivne sårbarheder
testssl.sh --vulnerable example.com

Ser du RC4, 3DES, DES-CBC3, EXP- eller en hvilken som helst suite uden ECDHE og uden GCM/POLY1305, er der noget at fjerne. Hele test-arsenalet står i sådan tester du dine TLS-ciphers.

Sådan fjerner du dem

# nginx — eksplicit udeluk de gamle (eller brug Mozilla intermediate)
ssl_protocols TLSv1.2 TLSv1.3;
ssl_ciphers HIGH:!aNULL:!MD5:!RC4:!3DES:!DES:!EXPORT:!eNULL:!CBC;
ssl_prefer_server_ciphers off;

Den reneste løsning er ikke at blokere enkeltvis men at hvidliste den gode liste — se de bedste TLS cipher suites. Husk at også slå TLS 1.0 og 1.1 fra, da mange af angrebene hænger sammen med de gamle protokoller.

Hvorfor det er svært at holde rent

Den virkelige udfordring er ikke at fjerne en svag cipher én gang — det er at den ikke sniger sig tilbage. Et genopbygget image med en gammel OpenSSL-default, en ny load balancer, en kopieret legacy-config: pludselig tilbyder én server igen 3DES. CertControl scanner alle jeres endpoints løbende og rejser en finding med severity i samme øjeblik en forældet cipher eller protokol dukker op igen — så I fanger tilbagefaldet ved næste scan, ikke ved næste penetrationstest. Forstå hvad navnene betyder i hvad er en cipher suite.

Ofte stillede spørgsmål

Er det farligt at beholde svage ciphers "bare som fallback"?

Ja. FREAK og Logjam viste at en angriber kan tvinge en forbindelse ned til den svageste tilbudte cipher. En svag suite i konfigurationen er derfor en aktiv risiko for alle klienter, ikke kun de gamle der måtte bruge den.

Hvorfor er 3DES sårbar når selve algoritmen ikke er brudt?

Problemet er ikke nøglestyrken men blokstørrelsen. 3DES bruger 64-bit blokke, og efter omkring 32 GB på samme nøgle bliver blok-kollisioner sandsynlige — det er det SWEET32 udnytter. AES' 128-bit blokke har ikke den grænse i praksis.

Er alle CBC-suites farlige?

CBC i SSL 3.0 og TLS 1.0/1.1 var ramt af BEAST og POODLE. CBC i TLS 1.2 er mindre slemt, men der er ingen grund til at beholde det når AEAD-ciphers (GCM, ChaCha20-Poly1305) er tilgængelige og bedre på alle måder.

Hvad er en export-cipher?

En bevidst svækket cipher fra 1990'erne med korte nøgler (fx 512-bit RSA), oprindeligt krævet af amerikansk eksportlovgivning. De er trivielt brydelige i dag og skal fjernes helt.

Hvordan ved jeg om mine servere stadig tilbyder dem?

Scan dem med nmap ssl-enum-ciphers eller testssl.sh, eller brug kontinuerlig scanning der automatisk rejser en finding når en forældet cipher dukker op — også på de servere du har glemt.

Se platformen Book demo