Komunikace šifrovaná pomocí SSL 3.0 není bezpečná. Je čas protokol opustit

16. 10. 2014

Sdílet

 Autor: Redakce
Podle interních dat Mozilla zjistila, že SSL 3.0 je použito pouze u 0,3 % spojení realizovaných přes HTTPS. Ukončení podpory starého protokolu tak většinu lidí bolet nebude.

Většina komunikace na internetu je nezabezpečená, k šifrování pak používáme kryptografické protokoly jako SSL nebo modernější TLS. Google odhalil závažné zranitelné místo v protokolu SSL 3.0.

Příliš bychom se divit neměli, z dnešního pohledu je nevyhovující, vždyť vznikl v roce 1996. Mimochodem, původně na SSL pracoval Netscape.

První verzi veřejnost nikdy neviděla a druhá byla plná chyb, takže došlo k rychlému nahrazení třetí verzí. Zpátky k novému objevu. Útočníkovi díra umožňuje vynutit použití SSL místo TLS. Spojení šifrované pomocí SSL následně může např. využít k informací z cookies.

Tentokráte prý neexistuje vhodné řešení, které by problém obešlo. Útok dostal přezdívku POODLE – Padding Oracle On Downgraded Legacy Encryption. Ačkoli servery běžně využívají TLS, SSL kupodivu dodnes často slouží jako záložní technologie, která je použita, když spojení pomocí modernějších zabezpečovacích metod selže.

 

Pravděpodobně teď budeme svědky většího tlaku na to, aby internet na SSL 3.0 zcela zanevřel. Google sám začne testovat důsledky vypnutí podpory SSL 3.0 ve Chromu. Jak podotýká, i dnes bohužel takový krok může způsobit problémy s kompatibilitou.

Mozilla bude docela rychlá a podporu natvrdo ukončí za šest týdnů ve Firefoxu 34. Microsoft zatím vydal návod, jak SSL vypnout v IE. Letos už sítě trápila kauza Heartbleed a později Shellshock.

bitcoin školení listopad 24

Vypněte SSL 3.0 v Internet Exploreru

Zdroj: OpenSSL.org via Google Online Security Blog