Уязвимость безопасности в SSL 3.0 была открыта Бобо Мёллером (Bodo Möller) и двумя другими работниками Гугл. Уязвимость позволяет вычислить сетевым атакующим обычный текст из безопасного соединения.

SSL 3.0 — это старый протокол и большинство Интернет серверов используют вместо него более новые протоколы TLS 1.0, TLS 1.1 или TLS 1.2. Клиент и сервер обычно соглашаются использовать самую последнюю версию протокола во время соединения во время квитирования протоколов, но так как TLS обратно совместим с SSL 3.0, может так получится, что вместо этого будет использован SSL 3.0.

Во время первой попытки квитирования («рукопожатия») предлагается протокол с наиболее высокой версией, но если это «рукопожатие» проваливается, вместо него предлагается протокол с более ранними версиями.

Атакующий, контролируя сетевое соединение между клиентом и сервером, может вмешиваться в процесс квитирования пытаясь сделать так, чтобы использовался SSL 3.0 вместо TLS.

Подробности об атаке доступны в рекомендациях по безопасности «This POODLE Bites: Exploiting The SSL 3.0 Fallback», которые вы можете загрузить кликнув по этой ссылке.

 

Защита от атаки

Так как SSL 3.0 используется атакующим, отключение SSL 3.0 полностью заблокирует атаку. Тем не менее есть одна проблема: если сервер или клиент поддерживают только SSL 3.0 и не поддерживают TLS, тогда будет невозможно установить соединение.

Вы можете запустить SSL тест для доменных имён, чтобы узнать, какие версии SSL и TLS они поддерживают.

ssl-test2

Результат прохождения SSL теста:

Результат прохождения SSL теста    



 

Чтобы защитить ваш веб-браузер сделайте следующее:

Chrome: Гугл Хром и основанные на Chromium браузеры не содержат настроек, которые бы могли задать минимальную и максимальную версию протокола, которую вы хотели бы чтобы браузер использовал. Вы можете запустить браузер с параметром

—enable-extension-action-redesign —ssl-version-min=tls1

для принудительного использования только TLS1 или более высокого протокола.

01

Firefox: Откройте страницу

about:config

и подтвердите, что вы будете осторожны (если вы открываете её впервые). Найдите

security.tls.version.min

дважды кликните по ней и установите значение 1. Это сделает версию TLS 1.0 минимальной требуемой для этого протокола.

02

Internet Explorer: откройте страницу настроек Internet Explorer'а («Свойства браузера»), перейдите во вкладку «Дополнительно», найдите в списке SSL 2.0 и SSL 3.0 и снимите с них галочки. Поставьте галочки на «Использовать TLS 1.1» и «Использовать TLS 1.2»

03

Mozilla удалит SSL 3.0 в Firefox 34, следующей стабильной версии этого веб-браузера, которая будет выпущена в течение шести недель. Google планирует удалить поддержку SSL 3.0 в Хроме в следующем месяце.


Спонсор публикаций HOSTLAND.RU

Hostland.RU уже более 10 лет является профессионалом в сфере предоставления виртуального хостинга и целого ряда сопутствующих услуг. Мы отвечаем за качество нашей работы.

Похожие темы

Firefox Hello: голосовые и видео звонки из браузер... Мы живём в мире коммуникаций и каждый из нас имеет много опций, когда хочет связаться с другими. Хотя до сих пор для этого возможно использовать тел...
Скоро Firefox изначально будет иметь Tor?... Firefox уже занимает сильные позиции в плане конфиденциальности, но если слухи подтвердятся, он обзаведётся особенностями, которые выделят его из ко...
Что такое SSL-сертификаты, для чего они нужны и ка... Что такое SSL-сертификаты и для чего они нужны Если не заострять внимание на технической (криптографической) стороне вопроса, то просто говоря, ...
Как вставить простой текст в Firefox... Когда вы вставляете текст с форматирование в форму, открытую в веб-браузере Firefox, вы могли заметить, что сохраняется форматирование оригинального...
Выделение и копирование нескольких участков текста... Если вы не поняли из название, какой хитростью я хочу поделиться, то посмотрите следующий с криншот: Вы знали, что вы можете выделить и ско...