Уязвимость безопасности в SSL 3.0 была открыта Бобо Мёллером (Bodo Möller) и двумя другими работниками Гугл. Уязвимость позволяет вычислить сетевым атакующим обычный текст из безопасного соединения.

SSL 3.0 — это старый протокол и большинство Интернет серверов используют вместо него более новые протоколы TLS 1.0, TLS 1.1 или TLS 1.2. Клиент и сервер обычно соглашаются использовать самую последнюю версию протокола во время соединения во время квитирования протоколов, но так как TLS обратно совместим с SSL 3.0, может так получится, что вместо этого будет использован SSL 3.0.

Во время первой попытки квитирования («рукопожатия») предлагается протокол с наиболее высокой версией, но если это «рукопожатие» проваливается, вместо него предлагается протокол с более ранними версиями.

Атакующий, контролируя сетевое соединение между клиентом и сервером, может вмешиваться в процесс квитирования пытаясь сделать так, чтобы использовался SSL 3.0 вместо TLS.

Подробности об атаке доступны в рекомендациях по безопасности «This POODLE Bites: Exploiting The SSL 3.0 Fallback», которые вы можете загрузить кликнув по этой ссылке.

 

Защита от атаки

Так как SSL 3.0 используется атакующим, отключение SSL 3.0 полностью заблокирует атаку. Тем не менее есть одна проблема: если сервер или клиент поддерживают только SSL 3.0 и не поддерживают TLS, тогда будет невозможно установить соединение.

Вы можете запустить SSL тест для доменных имён, чтобы узнать, какие версии SSL и TLS они поддерживают.

ssl-test2

Результат прохождения SSL теста:

Результат прохождения SSL теста    

 

Чтобы защитить ваш веб-браузер сделайте следующее:

Chrome: Гугл Хром и основанные на Chromium браузеры не содержат настроек, которые бы могли задать минимальную и максимальную версию протокола, которую вы хотели бы чтобы браузер использовал. Вы можете запустить браузер с параметром

—enable-extension-action-redesign —ssl-version-min=tls1

для принудительного использования только TLS1 или более высокого протокола.

01

Firefox: Откройте страницу

about:config

и подтвердите, что вы будете осторожны (если вы открываете её впервые). Найдите

security.tls.version.min

дважды кликните по ней и установите значение 1. Это сделает версию TLS 1.0 минимальной требуемой для этого протокола.

02

Internet Explorer: откройте страницу настроек Internet Explorer'а («Свойства браузера»), перейдите во вкладку «Дополнительно», найдите в списке SSL 2.0 и SSL 3.0 и снимите с них галочки. Поставьте галочки на «Использовать TLS 1.1» и «Использовать TLS 1.2»

03

Mozilla удалит SSL 3.0 в Firefox 34, следующей стабильной версии этого веб-браузера, которая будет выпущена в течение шести недель. Google планирует удалить поддержку SSL 3.0 в Хроме в следующем месяце.

Похожие темы

Как обезопасить соединение с почтовым сервером (ис... SSL (уровень защищённых сокетов) и его потомок TLS (безопасность транспортного уровня) наиболее широко используемые протоколы для шифрования данных,...
Как в Firefox в Linux Mint добавить поиск Google... Предыстория конфликта авторов Linux Mint и Google Авторы Linux Mint, когда их детище стало набирать популярность, обратились к компании Google с...
Что такое SSL-сертификаты, для чего они нужны и ка... Что такое SSL-сертификаты и для чего они нужны Если не заострять внимание на технической (криптографической) стороне вопроса, то просто говоря, ...
Google задействует поддержку Секретного Ключа для ... Одним из лучших способов улучшения безопасности аккаунта Гугл — это задействование двухшаговой верификации для него. Суть идеи в том, чтобы ко...
Как вставить простой текст в Firefox... Когда вы вставляете текст с форматирование в форму, открытую в веб-браузере Firefox, вы могли заметить, что сохраняется форматирование оригинального...