SSL 3.0 協議安全又出問題,Google 打算徹底拋棄它

作者 | 發布日期 2014 年 10 月 15 日 12:16 | 分類 網路 , 資訊安全
google

最近這段時間普通使用者在網路上的隱私顯得特別不安全。iCloud 的明星「豔照門」、Snapchat 用戶的照片洩露事件還沒平息,今天 Google 又發現 3.0 版本的 SSL 安全協議中存在的巨大問題,更讓人不安的是現在幾乎所有的瀏覽器中都支援這個存在問題的協議。




根據 Google 安全部落格上的消息,這次新發現的 SSL 設計缺陷,讓攻擊者可以通過特定的手法獲取客戶端和伺服器之間的加密數據,需要加密傳輸的很多是涉及到用戶隱私,例如帳號、密碼之類的敏感訊息。具體來說,已經有差不多 15 年歷史之久的 SSL 3.0 協議已經足夠老了,它的繼任者 TLS(傳輸層安全協議)雖然可以實現和 SSL 類似的功能,但出於使用者體驗方面的考慮,很多服務會選擇向下相容 SSL,而這恰恰就給攻擊者留下了可乘之機。

現在,即使一個客戶端和伺服器都支援 TLS,但為了解決 HTTPS 伺服器端互操作性的 bug,很多客戶端還是會通過協議降級的方式使用 SSL 3.0。這樣以來攻擊者就可以用觸發失敗連接的方式啟動 SSL 3.0 協議,接著自然也就可以利用 SSL 3.0 中的漏洞了。

Google 的三位員工在發現這其中的問題後建議大家在客戶端和伺服器上禁用 SSL 3.0 安全協議,這樣一來雙方之間的通信將被迫通過 TSL 進行,攻擊者自然就沒法利用 SSL 3.0 協議中的設計缺陷了。

當然,把安全問題完全交給終端用戶明顯是不太合適的,所以 Google 已經開始在 Chrome 中測試禁止回溯到 SSL 3.0 的功能,這也就意味著一些網站可能也要做出一些對應的更新。在接下來幾個月,Google 希望能把 SSL 3.0 從旗下的客戶端產品中徹底移除。

對於 Firefox 用戶,你可以直接通過 SSL Version Control 禁掉 SSL 3.0。在計劃於 11 月 25 發布的 Firefox 34 中,Mozilla 也將徹底禁掉 SSL 3.0,而 Firefox Nightly 則在今晚就可以得到相關的代碼。

(本文由 PingWest 授權轉載) 

關鍵字: ,

發表迴響