DROWN je v březnu 2016 zveřejněný útok na rodinu protokolů TLS a SSL. Zkratka znamená „Decrypting RSA with Obsolete and Weakened eNcryption“, tedy doslova „dešifrování RSA pomocí zastaralého a oslabeného šifrování“. Jeho podstatou je využití podpory zastaralého protokolu SSL verze 2.
SSL verze 2 je zastaralé od roku 1996, RFC 6176 z března 2011 jej dokonce výslovně zakazuje.[1] Přesto objevitelé útoku zjistili, že jej v okamžiku objevu podporovalo zhruba 17 % HTTPS serverů. Útokem DROWN je navíc zranitelná i komunikace těch serverů, které sice samy SSL v2 nepodporují, ovšem sdílí soukromé klíče s nějakým jiným serverem, který ji podporuje – a nemusí se přitom ani jednat o webový server. SSL se totiž používá i pro zabezpečení jiných protokolů, například různých protokolů pro přenos e-mailů. Při započítání této možnosti byl podíl zranitelných HTTPS serverů v rámci celého internetu jedna třetina. V rámci České republiky ohlásilo sdružení CZ.NIC téměř třináct tisíc zranitelných IP adres.[2]
Nedostatečné zabezpečení komunikace proti DROWNu není možné vyřešit na straně klienta, protože byť si tento vynutí jakkoliv zabezpečené šifrování, nemůže nijak zajistit, že server na druhé straně nesdílí svůj klíč s nějakým nezabezpečeným serverem podporujícím SSL v2.
Současně s útokem objevili výzkumníci jeho ještě efektivnější variantu zneužívající chybu v knihovně OpenSSL, která z důvodu kompatibility nadále nabízela volitelně zapnutou podporu SSL v2. Vypnutí podpory ovšem bylo implementováno chybně a tak i když měl server ve své konfiguraci nařízeno komunikaci pomocí SSL v2 odmítnout, ve skutečnosti ji neodmítl. Výzkumníci zodpovědně oznámili chybu vývojářům OpenSSL s předstihem před veřejným oznámením chyby, takže zároveň s veřejným oznámením chyby už byla připravena nová verze OpenSSL (1.0.2g nebo 1.0.1s) chybu opravující.[3][4] Knihovna LibreSSL, která vznikla jako fork OpenSSL se snahou o větší důraz na bezpečnost mj. v reakci na nalezení chyby Heartbleed v roce 2015, oznámila, že jí se chyba netýká.[5]