شماره: IRCNE2014112360
تاريخ: 11/8/93
گوگل قصد دارد پشتيباني از پروتكل قديمي SSL 3.0 را در مرورگر كروم حذف نمايد.
اين تصميم به دنبال كشف يك نقص امنيتي خطرناك طراحي توسط محققان امنيتي گوگل در SSL 3.0 رخ داد. اين آسيبپذيري كه POODLE نام گرفته است، به مهاجم MitM اجازه ميدهد كه اطلاعات متني حساس مانند كوكيهاي احراز هويت را از يك ارتباط HTTPS رمز شده توسط SSLv3 بازيابي نمايد.
اگرچه POODLE بزرگترين مسآله امنيتي است كه تا كنون در SSL 3.0 كشف شده است، اما تنها ضعف اين پروتكل نيست. SSL 3.0 در اواسط دهه 1990 طراحي شد و رمزنگاري خارج از ردهاي را پشتيباني ميكند كه اكنون از ديدگاه رمزنگاري امن نيست.
امروزه ارتباطات HTTPS نوعاً از TLS نسخههاي 1.0، 1.1 يا 1.2 استفاده ميكنند. البته بسياري از مرورگرها و سرورها، پشتيباني از SSL 3.0 را در طول سالها حفظ كردهاند.
اين موقعيت، همان چيزي است كه مدتهاست متخصصان امنيت انتظار ديدن آن را داشتهاند و اكنون به لطف POODLE اين اتفاق ميافتد. تأثير اين نقص امنيتي با اين واقعيت چندين برابر ميشود كه مهاجماني كه ميتوانند به ارتباطات HTTPS نفوذ كنند، ميتوانند آن را از TLS به SSL 3.0 تنزل دهند.
بر اساس مطالعه منتشر شده در ماه اكتبر در پروژه SSL Pulse، 98 درصد از مشهورترين سايتهاي HTTPS علاوه بر يكي از نسخههاي TLS، از SSL 3.0 هم پشتيباني ميكنند. به همين دليل براي مرورگرها سادهتر است كه پشتيباني SSL 3.0 را حذف كنند تا اينكه براي پيكربندي مجدد منتظر صدها هزار سرور بمانند.
به گزارش يك مهندس امنيتي گوگل، كروم 39 كه اكنون نسخه بتاي آن عرضه شده و در چند هفته آينده ارائه خواهد شد، ديگر از بازگشت به SSL 3.0 پشتيباني نخواهد كرد تا مهاجمان اجازه تنزل از TLS به SSL 3.0 را نداشته باشند.
همچنين برنامهريزي شده است كه در كروم 40 نيز SSL 3.0 به طور كلي غيرفعال گردد.
- 2