فا

‫ توقف پشتيباني از SSL 3.0 در كروم 40

شماره: IRCNE2014112360
تاريخ: 11/8/93
گوگل قصد دارد پشتيباني از پروتكل قديمي SSL 3.0 را در مرورگر كروم حذف نمايد.
اين تصميم به دنبال كشف يك نقص امنيتي خطرناك طراحي توسط محققان امنيتي گوگل در SSL 3.0 رخ داد. اين آسيب‌پذيري كه POODLE نام گرفته است، به مهاجم MitM اجازه مي‌دهد كه اطلاعات متني حساس مانند كوكي‌هاي احراز هويت را از يك ارتباط HTTPS رمز شده توسط SSLv3 بازيابي نمايد.
اگرچه POODLE بزرگترين مسآله امنيتي است كه تا كنون در SSL 3.0 كشف شده است، اما تنها ضعف اين پروتكل نيست. SSL 3.0 در اواسط دهه 1990 طراحي شد و رمزنگاري خارج از رده‌اي را پشتيباني مي‌كند كه اكنون از ديدگاه رمزنگاري امن نيست.
امروزه ارتباطات HTTPS نوعاً از TLS نسخه‌هاي 1.0، 1.1 يا 1.2 استفاده مي‌كنند. البته بسياري از مرورگرها و سرورها، پشتيباني از SSL 3.0 را در طول سال‌ها حفظ كرده‌اند.
اين موقعيت، همان چيزي است كه مدت‌هاست متخصصان امنيت انتظار ديدن آن را داشته‌اند و اكنون به لطف POODLE اين اتفاق مي‌افتد. تأثير اين نقص امنيتي با اين واقعيت چندين برابر مي‌شود كه مهاجماني كه مي‌توانند به ارتباطات HTTPS نفوذ كنند، مي‌توانند آن را از TLS به SSL 3.0 تنزل دهند.
بر اساس مطالعه منتشر شده در ماه اكتبر در پروژه SSL Pulse، 98 درصد از مشهورترين سايت‌هاي HTTPS علاوه بر يكي از نسخه‌هاي TLS، از SSL 3.0 هم پشتيباني مي‌كنند. به همين دليل براي مرورگرها ساده‌تر است كه پشتيباني SSL 3.0 را حذف كنند تا اينكه براي پيكربندي مجدد منتظر صدها هزار سرور بمانند.
به گزارش يك مهندس امنيتي گوگل، كروم 39 كه اكنون نسخه بتاي آن عرضه شده و در چند هفته آينده ارائه خواهد شد، ديگر از بازگشت به SSL 3.0 پشتيباني نخواهد كرد تا مهاجمان اجازه تنزل از TLS به SSL 3.0 را نداشته باشند.
همچنين برنامه‌ريزي شده است كه در كروم 40 نيز SSL 3.0 به طور كلي غيرفعال گردد.
مطالب مرتبط:

نظرات

بدون نظر
شما برای نظر دادن باید وارد شوید

نوشته

 
تاریخ ایجاد: 14 آبان 1393

دسته‌ها

امتیاز

امتیاز شما
تعداد امتیازها: 0