Google убирает поддержку SSL 3.0 в Chrome 40

03.11.2014 | 20:10 Экономика

Google планирует убрать поддержку старого протокола Secure Sockets Layer (SSL) версии 3.0 в Google Chrome 40, который появится через два месяца.


Решение было принято после того, как исследователи безопасности Google недавно обнаружили опасную уязвимость в SSL 3.0. Уязвимость под названием «POODLE», позволяет атакующему «man-in-the-middle» восстановить чувствительную текстовую информацию, например, куки аутентификации из соединения HTTPS, зашифрованного с помощью SSLv3.
Несмотря на то, что «POODLE» является самой большой проблемой безопасности, обнаруженной в SSL 3.0 до сих пор, это не единственная слабость протокола. SSL версии 3 был разработан в середине 1990-х и поддерживает устаревшее шифрование, которое в настоящее время считается небезопасными с криптографической точки зрения.

HTTPS соединения сегодня обычно используют TLS (Transport Layer Security) версии 1.0, 1.1 или 1.2. Тем не менее, многие браузеры и серверы сохранили поддержку SSL 3.0 — для поддержки безопасных соединений старых серверов и браузеров.

Эту ситуацию поддержки совместимости является эксперты по безопасности давно хотели изменить, и благодаря POODLDE, это, наконец, произойдет. Влияние уязвимости значительно усиливается тем фактом, что нападавшие, которые смогут перехватить HTTPS-соединение, могут понизить протокол TLS до протокола SSL 3.0.

На основе октябрьского опроса проекта SSL Pulse, 98% из наиболее популярных в мире 150,000 HTTPS-сайтов поддерживают SSLv3 в дополнение к TLS. Следовательно, легче удалить поддержку SSL 3.0 в браузерах, чем ждать, пока сотни тысяч веб-серверов будут переконфигурированы.

14 октября, когда об уязвимости POODLE публично объявили, Google сказала, что надеется убрать поддержку SSL 3.0 полностью в своих клиентских продуктах в ближайшие месяцы. Инженер по безопасности Google Адам Лэнгли предоставил более подробную информацию о том, что это означает для Chrome.

Chrome 39, который в настоящее время находится в стадии бета-версии, и будет выпущен в течение нескольких недель, больше не будет поддерживать механизм понижения протокола до SSL 3.0, предотвращая атаку TLS соединений.

«В Chrome 40, мы планируем полное отключение SSLv3, хотя мы будем держать руку на пульсе на проблемах с совместимостью, которые могут возникнуть», сказал Лэнгли. «В рамках подготовки к этому, в Chrome 39 появится желтый бэдж на значке замка для сайтов с SSLv3. Эти сайты должны быть обновлены, по крайней мере до TLS 1.0, перед выпуском Chrome 40».
Google Chrome, как правило, использует шестинедельный цикл выпуска для основных версий. Стабильная версия Chrome 38 была выпущена 7 октября, то есть Chrome 40, вероятно, выпустят к концу декабря.

Другие производители браузеров взяли подобный курс развития в отношении поддержки SSL 3.0. Microsoft в среду выпустила инструмент Fixit, который позволяет пользователям отключить SSL 3.0 в Internet Explorer. Mozilla планирует отключить SSL 3.0 по умолчанию в Firefox 34, который будет выпущен 25 ноября.