Бесплатно Экспресс-аудит сайта:

16.10.2014

Инженеры Google обнаружили критическую уязвимость в SSL 3.0

Устаревшие web-технологии продолжают массово подвергаться уязвимостям. Инженеры отдела безопасности Google обнаружили, что SSL-шифрование можно обойти с помощью эксплуатации новой  бреши , которую они назвали POODLE.

В блоге Google Online Security специалисты опубликовали детали уязвимости. Бодо Меллер (Bodo Möller), Кшиштоф Котович (Krzysztof Kotowicz) и Тай Дон (Thai Duong) заявили, что из-за существования бреши использование SSL 3.0 более не представляется возможным.

Уязвимость позволяет хакеру получить доступ к зашифрованной информации, осуществив атаку «человек посередине». Поскольку устаревшую технологию используют как на web-сайтах, так и в браузерах, инженеры советуют как можно скорее отключить SSL 3.0.

Несмотря на то, что SSL 3.0 уже давно не считается наиболее совершенной формой web-шифрования, Меллер объяснил, что браузеры и HTTPS-серверы до сих пор его используют. Это происходит в случае, если при использовании протокола TLS – более защищенной версии SSL – возникают определенные ошибки.

Когда браузер или сервер сталкивается с неисправностями при использовании TLS, происходит автоматический откат до SSL. Зная об этом, злоумышленники могут умышленно вызвать проблемы с соединением, из-за чего сайт станет использовать устаревшую версию протокола.

Поскольку полное отключение SSL 3.0 может вызвать проблемы совместимости, Меллер заявил, что администраторам также стоит добавить поддержку подпротокола TLS_FALLBACK_SCSV. Он не позволит хакерам перевести сайт или браузер не только в режим SSL 3.0, но и в устаревшие версии TLS 1.0 и 1.1.