SSL 3.0协议又出安全问题,Google打算彻底抛弃它

最近这段时间普通用户在网络上的隐私显得特别不安全。iCloud的明星“艳照门”、Snapchat用户的照片泄露事件还没平息,今天Google又发现3.0版本的SSL安全协议中存在的巨大问题,更让人不安的是现在几乎所有的浏览器中都支持这个存在问题的协议。

根据Google安全博客上的消息,这次新发现的SSL设计缺陷让攻击者可以通过特定的手法获取客户端和服务器之间的加密数据,需要加密传输的很多是涉及到用户隐私,例如账号、密码之类的敏感信息。具体来说,已经有差不多15年历史之久的SSL 3.0协议已经足够老了,它的继任者TLS(传输层安全协议)虽然可以实现和SSL类似的功能,但出于用户体验方面的考虑,很多服务会选择向后兼容SSL,而这恰恰就给攻击者留下了可乘之机。

现在,即使一个客户端和服务器都支持TLS,但为了解决HTTPS服务器端互操作性的bug,很多客户端还是会通过协议降级的方式使用SSL 3.0。这样以来攻击者就可以用触发失败连接的方式激活SSL 3.0协议,接着自然也就可以利用SSL 3.0中的漏洞了。

Google的三位员工在发现这其中的问题后建议大家在客户端和服务器上禁用SSL 3.0安全协议,这样一来双方之间的通信将被迫通过TSL进行,攻击者自然就没法利用SSL 3.0协议中的设计缺陷了。

当然,把安全问题完全交给终端用户明显是不太合适的,所以Google已经开始在Chrome中测试禁止回滚到SSL 3.0的功能,这也就意味着一些网站可能也要做出一些对应的更新。在接下来几个月,Google希望能把SSL 3.0从旗下的客户端产品中彻底移除。

对于Firefox用户,你可以直接通过SSL Version Control禁掉SSL 3.0。在计划于11月25发布的Firefox 34中,Mozilla也将彻底禁掉SSL 3.0,而Firefox Nightly则在今晚就可以得到相关的代码。

图片来自:Shutterstock

订阅更多文章