Bodo Möller i dwaj inni pracownicy Google odkryli lukę w zabezpieczeniach protokołu SSL 3.0, którą atakujący mogą wykorzystać do obliczenia zwykłego tekstu bezpiecznych połączeń.
SSL 3.0 to stary protokół, a większość serwerów internetowych korzysta z nowszych protokołów TLS 1.0, TLS 1.1 lub TLS 1.2. Klient i serwer zazwyczaj zgadzają się używać najnowszej wersji protokołu podczas połączeń podczas uzgadniania protokołu, ale ponieważ TLS jest wstecznie kompatybilny z SSL 3.0, może się zdarzyć, że zamiast niego zostanie użyty protokół SSL 3.0.
Podczas pierwszej próby uzgadniania oferowana jest najwyższa obsługiwana wersja protokołu, ale jeśli to nie powiedzie się, oferowane są wcześniejsze wersje protokołu.
Osoba atakująca kontrolująca sieć między klientem a serwerem może zakłócać próbę uzgadniania, dlatego zamiast protokołu TLS używany jest protokół SSL 3.0.
Szczegółowe informacje na temat ataku są dostępne w poradniku dotyczącym bezpieczeństwa „To gryzą POODLE: Wykorzystanie awaryjne protokołu SSL 3.0”, które można pobrać, klikając ten link.
Ochrona przed atakiem
Ponieważ atakujący używa protokołu SSL 3.0, wyłączenie protokołu SSL 3.0 całkowicie zablokuje atak. Jest jednak jeden problem: jeśli serwer lub klient obsługuje tylko protokół SSL 3.0, a nie TLS, nawiązanie połączenia nie jest już możliwe.
Możesz uruchomić testy SSL dla nazw domen, aby dowiedzieć się, które wersje SSL i TLS obsługują.
Aby chronić swoją przeglądarkę internetową, wykonaj następujące czynności:
Chrom: W przeglądarkach Google Chrome i Chromium nie ma preferencji, którą można zmienić, aby edytować minimalne i maksymalne wersje protokołu, których ma używać przeglądarka. Możesz uruchomić przeglądarkę z parametrem —ssl-version-min = tls1, aby wymusić użycie tylko protokołów TLS1 lub wyższych.
Firefox: Otwórz stronę about: config i potwierdź, że będziesz ostrożny, jeśli otworzysz ją po raz pierwszy. Wyszukaj plik security.tls.version.min, kliknij go dwukrotnie i ustaw jego wartość na 1. Dzięki temu TLS 1.0 jest minimalną wymaganą wersją protokołu.
Internet Explorer: Otwórz Opcje internetowe, klikając przycisk menu i wybierając Opcje internetowe z menu. Przełącz się tam na Zaawansowane i przewiń w dół, aż znajdziesz opcję Użyj SSL 2.0 i Użyj SSL 3.0 na liście (u dołu). Odznacz dwie opcje i kliknij ok, aby zastosować zmianę.
Mozilla usunie SSL 3.0 w Firefox 34, kolejnej stabilnej wersji przeglądarki internetowej, która zostanie wydana za sześć tygodni. Google planuje również usunąć obsługę SSL 3.0 w Chrome również w ciągu najbliższych miesięcy.
Windows: Jeśli chcesz wyłączyć protokół SSL 3.0 w systemie Windows, możesz to zrobić w rejestrze systemu Windows.
- Stuknij w Windows-r, wpisz regedit i wciśnij enter.
- Potwierdź monit UAC, jeśli się pojawi.
- Przejdź do klucza: HKey_Local_Machine \ System \ CurrentControlSet \ Control \ SecurityProviders \ SCHANNEL \ Protocols \ SSL 3.0 \ Server
- Jeśli ścieżka nie istnieje, utwórz ją, klikając prawym przyciskiem myszy ostatni istniejący klucz i wybierz Nowy> Klucz z menu kontekstowego.
- Następnie kliknij prawym przyciskiem myszy Serwer i wybierz Nowy> Dword (wartość 32-bitowa).
- Nazwij to włączone.
- Kliknij dwukrotnie później i ustaw na 0.
- Przejdź do klucza: HKey_Local_Machine \ System \ CurrentControlSet \ Control \ SecurityProviders \ SCHANNEL \ Protocols \ SSL 3.0 \ Client
- Jeśli ścieżka nie istnieje, utwórz ją, korzystając z powyższej metody.
- Kliknij klienta prawym przyciskiem myszy i wybierz Nowy> Dword (wartość 32-bitowa).
- Nazwij to włączone.
- Kliknij dwukrotnie i zmień jego wartość na 0.
- Uruchom ponownie komputer.
Więcej informacji dostępnych na tej stronie pomocy.
Podsumowanie
Nazwa artykułu
Odkryto lukę w SSL 3.0. Dowiedz się, jak się chronić
Opis
Jak wyłączyć protokół SSL 3.0 w wybranej przeglądarce internetowej, aby zabezpieczyć się przed niedawno odkrytą podatnością na protokół SSL 3.0.
