Найдены критические уязвимости в SSL 3.0


SSLИнженерами отдела безопасности из компании Google было установлено, что SSL-шифрование можно обойти, эксплуатируя новую брешь, названную POODLE. Кроме того, существование данной бреши не позволяет использование SSL 3.0.

Сама же уязвимость POODLE предоставляет хакеру возможность получить доступ к зашифрованной информации, осуществив атаку "человек посередине". А поскольку устаревшую технологию используют как на web-сайтах, так и в браузерах, то инженеры советуют по возможности быстрее отключить SSL 3.0.

Конечно, SSL 3.0 уже давно не считается наиболее совершенной формой web-шифрования. Однако браузеры и HTTPS-серверы до сих пор используют этот метод шифрования. Это происходит в том случае, если при использовании протокола TLS (более защищенной версии SSL) возникают определенные ошибки.

Чтобы было более понятно. Когда браузер или сервер сталкивается с неисправностями при использовании TLS, то происходит автоматический откат до SSL. Зная об этом, злоумышленники могут умышленно вызвать проблемы с соединением, из-за чего сайт станет использовать устаревшую версию протокола.

А поскольку при полном отключении SSL 3.0 может появиться проблема совместимости, то администраторам также стоит добавить поддержку и подпротокола TLS_FALLBACK_SCSV. Именно этот протокл не позволяет хакерам перевести сайт или браузер в режим SSL 3.0, а также и в устаревшие версии TLS 1.0 и 1.1.


Обновлено (16.10.2014 00:52)