آسیب‌پذیری جدیدی در وب سايت های امن شده با SSL شناسایی ‌شده است که DROWN نام دارد.
پژوهشگران امنیتی اعلام کرده‌اند: اگر گواهينامه سایت شما یا کلید آن بر روی وب سروری که از پروتکل SSLv2 پشتیبانی کند وجود داشته باشد یا بر روی سرویس‌های دیگری مانند ميل سرور که از پروتکل SSLv2 پشتيبانی کنند، شما در معرض خطر قرار دارید.

اشکالی که هم‌اکنون در سرورهای فعال دنیا وجود دارد، امکان برقراری ارتباط SSLv2 است. هکرها می‌توانند ارتباط امن TLS را با کلید خصوصی مشترک با SSLv2، رمزگشایی کنند. این آسیب‌پذیری با کد CVE-2016-0800 شناخته می‌شود، این آسیب‌پذیری می‌تواند یک‌سوم سرورهای HTTPS را غیرفعال کند.

جهت محافظت سرور از اين آسیب پذیری، ميبایست :
1- از غیر فعال بودن پروتکل SSLv2 بر روی سرور خود اطمينان حاصل نمائيد.
2- در صورتی که کليد خصوصی گواهينامه شما بر روی سرورهای ديگری نیز نصب ميباشد، از غیر فعال بودن پروتکل SSLv2 بر روی آنها نیز اطمينان حاصل نمائيد.
3- در صورت استفاده از OpenSSL ميبایست نسخه OpenSSL شماره 1.0.2 به 1.0.2g ارتقاء یابد.
4- با توجه به فعال بودن پیش فرض پروتکل SSLv2 بر روی ويندوز سرورهای قدیمی (Windows Vista, Windows Server 2008, Windows 7 and Windows Server 2008R2)، اين پروتکل ميبایست غیر فعال گردد.

جهت بررسی آسیب پذیری Drown بر روی وب سايت خود اينجا را کليک کنيد

پس از مذاکرات صورت گرفته با برخی از شرکت های صادرکننده گواهينامه SSL اس اس ال(CA)، مرکز صدور گواهينامه های ديجيتالی IranSSL موفق گرديد که امکان صدور گواهينامه های EV را جهت سازمان‌ها و شرکت‌های ایرانی فراهم آورد.

LogJam نام آسیب‌ پذیری است که لایه انتقال امن داده یا TSL را تحت تاثیر قرار داده است. بسیاری از مرورگرها نسبت به این باگ آسیب‌ پذیر بوده و به مهاجمان اجازه می‌دهند که از راه دور، کدهای مخرب خود را اجرا کرده و موجب هک شدن سیستم شوند.
اخیرا یک باگ 20 ساله کشف شده که لایه‌ی امنیتی شبکه را دربر گرفته است. این باگ که LogJam نام گرفته، لایه‌ی انتقال داده‌ی امن یا TSL را هدف گرفته است، TSL یک پروتکل رمزنگاری است که به منظور احراز هویت سرورها و پنهان نگه داشتن محتوای آن‌ها به صورت امن، به کار برده می‌شود.
این باگ اجازه می‌دهد تا هکر حمله‌ی man-in-the-middle را در مرورگر و در سرور اجرا کرده و از این آسیب پذیری رمزنگاری برای اجرای حملات بروت‌فورس بهره‌برداری کند. این باگ به آسیب پذیری FREAK که در اوایل سال جاری برطرف شد، مرتبط است. این نوع باگ‌ و مشکل امنیتی همانند آسیب پذیری‌های Heartbleed و ShellShock خطرناک است. پس از منتشر شدن باگ LogJam، برخی مرورگرها در حال برطرف کردن این آسیب پذیری هستند، اما تا برطرف سازی کامل آن، بسیاری از سرورها نسبت به این باگ خطرناک، آسیب پذیر می‌مانند

با توجه به سوء استفاده برخی از شرکت‌ها از اعتبار مرکز صدور گواهينامه IranSSL و همچنين سعی برخی از آنان در تخریب نام شرکت جهت منافع خودشان که حاکی از عدم اعتبار و بی‌کفايتی مديران اين گونه شرکتها ميباشد، به اطلاع ميرساند که IranSSL به عنوان اولين صادر کننده گواهينامه های الکترونیکی در ایران، زیر مجموعه و یا نمايندگی هيچ سازمان و یا شرکتی در داخل ایران نبوده و هيچ نمايندگی رسمی ندارد و اين مرکز پس از اين در صورت مشاهده با اين موارد با رجوع به مراجع قضایی به صورت قانونی پيگیری خواهد نمود.

شورای امنیت تایید گواهینامه‌ها الگوریتم‌های رمزنگاری را از SHA-1 به SHA-2 تغییر داده و هشدار می‌دهد که گواهینامه‌های SSL صادر شده با الگوریتم رمزنگاری SHA-1 تا پایان سال 2016 معتبر بوده و پس از آن منقضی خواهند شد.
این اقدام در نتیجه‌ سیاست‌های جدید مایکروسافت در حوزه تایید گواهینامه‌های ریشه‌ای است که در آن SHA-1 را نامناسب می‌داند.
مایکروسافت از سال 2013 میلادی اعلام کرد که سایت ها موظف هستند طی 3 سال گواهينامه های SSL که از الگوریتم SHA-1 استفاده ميکنند را تغییر دهند. موزیلا، سازنده مرورگر فایرفاکس، نیز روند مایکروسافت را در پیش گرفت.

شرکت گوگل در شهریور 93 اعلام کرد که در نسخه های آینده‌ مرورگر کروم جهت گواهينامه های SSL با الگوریتم SHA-1 پیغام های اخطار خواهد داد.
چالشی که بسیاری از سازمان‌ها اين روزها با آن مواجهند نمایش پيغام اخطار در برنامه‌هایی است که از الگوریتم SHA-1 استفاده ميکنند.
با توجه به عدم پشتيبانی مرورگر اينترنتی گوگل کروم، از گواهينامه‌های SSL صادر شده با الگوريتم SHA-1، توصيه ميگردد که سازمان و شرکت‌ها، هر چه سريع‌تر جهت ارتقاء به گواهينامه های SSL صادر شده با الگوريتم SHA-2 اقدام نمايند.

SSL V3 یک پروتکل برای رمزنگاری ارتباط بین کلاینت و سرور است تا تبادل اطلاعات بین آنها قابل مشاهده توسط افراد ديگر نباشد. اما این پروتکل منسوخ و ناامن است . جایگزین این پروتکل TLS می‌باشد که چنین ضعف ساختاری در برقراری ارتباط امن در آن وجود ندارد. اما در برقراری ارتباط امن بین کلاینت و سرور و به منظور سازگاری با تمامی نسخه های مرورگرها، پروتکل های قدیمی‌تر همچنان پشتیبانی می‌گردند. بنابراین وقتی یک تلاش برای اتصال امن TLS بین کلاینت و سرور با مشکل روبرو می‌شود، سرور از پروتکل قدیمی‌تر مانند SSL V3 استفاده می‌نماید. شخص مهاجم از این ویژگی استفاده کرده و در فرایند مذاکره بین کلاینت و سرور با شبیه سازی شرایطی که نشانگر عدم برقراری ارتباط امن بین کلاینت و سرور است، سرور را مجبور می‌کند از پروتکل SSL V3 استفاده نماید و آنگاه از ضعف ساختاری پروتکل SSL V3 با استفاده از حمله مرد میانی سودجویی می‌نماید.
آسیب‌پذیری Poodel ناشی از مشکل در پیاده سازی پروتکل نیست بلکه از یک ضعف ذاتی در پروتکل SSL V3 سرچشمه می‌گیرد. بنابراین تنها راه برطرف کردن این آسیب ‌پذیری، غیر فعال کردن کامل این پروتکل است.

این آسیب پذیری که به خونریزی قلبی (Heart Bleed) شهرت یافته است، تقریبا به هر شخصی که به اینترنت دسترسی دارد، اجازه می‌دهد که اطلاعاتی از سرورهای آسیب پذیر را سرقت نمايد. این اطلاعات ممکن است رمز عبور کاربران یا حتی رمز عبور کل سرور باشد.
این مشکل در پیاده سازی پروتکل TLS کشف شده است، و باعث می‌شود سرورهایی که از هر نوع ارتباط امن برای ارتباط استفاده می‌کنند، آسیب پذیر باشند. همه‌ ارتباط‌ها از طریق https، smtp و imap و اتصال‌های امن VPN و SSH همه در معرض خطر هستند. این خطر ارتباط امن بانک‌های اینترنتی را نیز تهدید می‌کند.
فقط رایانه‌هایی که از Linux یا BSD استفاده می‌کنند و نسخه‌ی سیستم عامل آن‌ها جدیدتر از دو سال گذشته است، شامل این آسیب پذیری می‌شوند. البته متاسفانه بیشتر سرورهایی که در وب استفاده می‌شوند، در این گروه جای می‌گیرند ولی برای کاربران خانگی که ویندوز استفاده می‌کنند این آسیب پذیری وجود ندارد.
سرورهایی که Ubuntu 12.04 به بالا یا Debian Wheezy یا CentOS 6.5 یا Fedora 18 یا FreeBSD 8.4/9.1 یا OpenBSD 5.3 یا OpenSUSE 12.2 دارند آسیب پذیر هستند. البته سرورهای قدیمی‌تر که از نسخه‌های Debian Squeeze یا SUSE Linux Enterprise این آسیب پذیری را ندارند. کاربران و مدیران سایت‌ها در صورتی که از سیستم‌عامل‌های ذکر شده استفاده می‌کنند، باید هر چه سریعتر آن را بروزرسانی نمايند.