Většina komunikace na internetu je nezabezpečená, k šifrování pak používáme kryptografické protokoly jako SSL nebo modernější TLS. Google odhalil závažné zranitelné místo v protokolu SSL 3.0.
Příliš bychom se divit neměli, z dnešního pohledu je nevyhovující, vždyť vznikl v roce 1996. Mimochodem, původně na SSL pracoval Netscape.
První verzi veřejnost nikdy neviděla a druhá byla plná chyb, takže došlo k rychlému nahrazení třetí verzí. Zpátky k novému objevu. Útočníkovi díra umožňuje vynutit použití SSL místo TLS. Spojení šifrované pomocí SSL následně může např. využít k informací z cookies.
Tentokráte prý neexistuje vhodné řešení, které by problém obešlo. Útok dostal přezdívku POODLE – Padding Oracle On Downgraded Legacy Encryption. Ačkoli servery běžně využívají TLS, SSL kupodivu dodnes často slouží jako záložní technologie, která je použita, když spojení pomocí modernějších zabezpečovacích metod selže.
Pravděpodobně teď budeme svědky většího tlaku na to, aby internet na SSL 3.0 zcela zanevřel. Google sám začne testovat důsledky vypnutí podpory SSL 3.0 ve Chromu. Jak podotýká, i dnes bohužel takový krok může způsobit problémy s kompatibilitou.
Mozilla bude docela rychlá a podporu natvrdo ukončí za šest týdnů ve Firefoxu 34. Microsoft zatím vydal návod, jak SSL vypnout v IE. Letos už sítě trápila kauza Heartbleed a později Shellshock.
Zdroj: OpenSSL.org via Google Online Security Blog
ČLÁNKY DO MAILU