[Sicurezza] Poodle Vulnerabilità SSL 3.0

La notizia che SSL V2 e V3 hanno delle vulnerabilità ssl ormai conosciute è approvato, esordiscono i tre “Google man” nella loro ricerca, che risulta ampiamente superato dalle tecnologie crittografiche per le connessioni sicure più recenti come TLS 1.0, TLS 1.1 e TLS 1.2.

Ma anche le più recenti implementazioni di TLS risultano retrocompatibili con SSL 3.0, spiega la ricerca, e il meccanismo di handshake tra client e server fa si che la negoziazione per il protocollo da usare possa andare (letteralmente) all’indietro fino ad adottare il protocollo incriminato.

Sfruttando l’attacco BEAST, un malintenzionato potrebbe quindi costringere il browser dell’utente a fare uso di SSL 3.0 e arrivare a intercettare, in chiaro, tutte le comunicazioni e i dati scambiati tra client e server.
Del bug POODLE invece Google che raccomanda agli admin il supporto al meccanismo TLS_FALLBACK_SCSV e promette di eliminare SSL 3.0 da tutti i suoi prodotti.
Microsoft invece consiglia di disabilitare il protocollo fallato nelle policy di Gruppo su Windows, Mozilla intende eliminare il supporto a SSL 3.0 quanto prima è possibile e CloudFlare che ha già disabilitato il (raramente utilizzato) protocollo per tutti i clienti del suo network di CDN.

Inoltre PayPal dal 3 Dicembre non funzionerà più in SSL 3.0 quindi gli ECommerce potrebbero smettere di funzionare da questa data.

Start typing and press Enter to search