SSL 3.0協議又出安全問題,Google打算徹底拋棄它

jopen 10年前發布 | 7K 次閱讀 SSL

        今天 Google 又發現 3.0 版本的 SSL 安全協議中存在的巨大問題,更讓人不安的是現在幾乎所有的瀏覽器中都支持這個存在問題的協議。

        根據 Google 安全博客上 的消息,這次新發現的 SSL 設計缺陷讓攻擊者可以通過特定的手法獲取客戶端和服務器之間的加密數據,需要加密傳輸的很多是涉及到用戶隱私,例如賬號、密碼之類的敏感信息。具體來說, 已經有差不多 15 年歷史之久的 SSL 3.0 協議已經足夠老了,它的繼任者 TLS(傳輸層安全協議)雖然可以實現和 SSL 類似的功能,但出于用戶體驗方面的考慮,很多服務會選擇向后兼容 SSL,而這恰恰就給攻擊者留下了可乘之機。

        現在,即使一個客戶端和服務器都支持 TLS,但為了解決 HTTPS 服務器端互操作性的 bug,很多客戶端還是會通過協議降級的方式使用 SSL 3.0。這樣以來攻擊者就可以用觸發失敗連接的方式激活 SSL 3.0 協議,接著自然也就可以利用 SSL 3.0 中的漏洞了。

        Google 的三位員工在發現這其中的問題后建議大家在客戶端和服務器上禁用 SSL 3.0 安全協議,這樣一來雙方之間的通信將被迫通過 TSL 進行,攻擊者自然就沒法利用 SSL 3.0 協議中的設計缺陷了。

        當然,把安全問題完全交給終端用戶明顯是不太合適的,所以 Google 已經開始在 Chrome 中測試禁止回滾到 SSL 3.0 的功能,這也就意味著一些網站可能也要做出一些對應的更新。在接下來幾個月,Google 希望能把 SSL 3.0 從旗下的客戶端產品中徹底移除。

        對于 Firefox 用戶,你可以直接通過 SSL Version Control 禁掉 SSL 3.0。在計劃于 11 月 25 發布的 Firefox 34 中,Mozilla 也將徹底禁掉 SSL 3.0,而 Firefox Nightly 則在今晚就可以得到相關的代碼。

                    <span id="shareA4" class="fl">                             
                        </span>
 本文由用戶 jopen 自行上傳分享,僅供網友學習交流。所有權歸原作者,若您的權利被侵害,請聯系管理員。
 轉載本站原創文章,請注明出處,并保留原始鏈接、圖片水印。
 本站是一個以用戶分享為主的開源技術平臺,歡迎各類分享!
  本文地址:http://www.baiduhome.net/news/view/143e78c