Google a descoperit o vulnerabilitate critică în protocolul SSLv3, acum în vârstă de 15 ani ce permite unui atacator experimentat să extragă informații secrete dintr-o tranzacție criptată.
Explicații detaliate sunt disponibile pe site-ul StackExchange sau pe blogul Online Security de la Google.
Ce trebuie să faceți:
Având în vedere că vulnerabilitatea afectează atât serverele, cât și clienții, operațiunile de remediere trebuie efectuate atât în browsere, cât și pe servere.
Pentru securizarea pe partea de client, soluția e simplă: actualizați browserul la cea mai proaspătă versiune. Mozilla a anunțat deja că versiunea 34 va fi construită fără suport pentru SSLv3, însă până la lansare puteți folosi addon-ul SSL Version Control.
Pentru securizarea serverelor, verificați protocoalele SSL folosite și exceptați SSLv3 din configurare. De exemplu, pentru serverele Apache trebuie să aveți – pentru fiecare virtual server ce folosește SSL – directiva:
SSLProtocol All -SSLv2 -SSLv3
sau echivalentul,
SSLProtocol TLSv1
Apoi, testați implementarea SSL a serverului la https://www.ssllabs.com/ssltest.
