Internet Explorer chroni przed SSL 3.0 fallback

Czekając na całkowite wyłączenie protokołu SSL 3.0 w przeglądarce Internet Explorer, Microsoft jako doraźne rozwiązanie wdrożył mechanizm chroniący jej użytkowników przed możliwością wymuszenia przez atakującego nawiązywania bezpiecznych połączeń HTTPS z wykorzystaniem starej wersji protokołu.

Czym jest SSL fallback?

Wdrożenie zmian w IE związane jest z opublikowaniem – w połowie października – przez Google informacji o podatności protokołu SSL 3.0 – POODLE. Podatność ta może zostać wykorzystana przez sposób w jaki przeglądarki internetowe negocjują połączenie HTTPS z serwerem.

Łącząc się ze stroną wykorzystującą HTTPS przeglądarki starają się robić to za pomocą najnowszej obecnie wersji protokołu TLS – 1.2. W przypadku braku wsparcia po stronie serwera dla TLS 1.2 próbują negocjacji połączenia za pomocą TLS 1.1., a jeżeli serwer nie wspiera także TLS 1.1 próbują z TLS 1.0 i tak dalej, aż do SSL 3.0. Atakujący może, poprzez przechwytywanie ruchu sieciowego pomiędzy przeglądarką a serwerem, sprawić, że połączenie zestawione zostanie z wykorzystaniem protokołu SSL 3.0 zamiast z którejś z jego nowszych wersji (TLS 1.0/1.1/1.2). Mówiąc inaczej, może zdegradować wersje wykorzystywanego protokołu. Wprowadzona przez Microsoft zmiana chroni jej użytkowników przed możliwością „zejścia” do podatnego m.in. na atak POODLE protokołu SSL 3.0.

Jaka w takim razie jest różnica pomiędzy wyłączeniem SSL 3.0 fallback a całkowitym wyłączeniem SSL 3.0?

Być może niektórzy z Was zadali sobie to pytanie w trakcie czytania tego wpisu. Otóż, jak sama nazwa wskazuje, wyłączenie mechanizmu SSL fallback dla protokołu w wersji 3.0 chroni przed możliwością zejścia z nowszej wersji protokołu do starszej. Oznacza to, że jeżeli serwer posiada np. wsparcie dla TLS 1.0 oraz SSL 3.0 to nawiązanie połączenia za pomocą tego drugiego nie będzie możliwe. Jednak w przypadku, gdy serwer wspiera tylko SSL 3.0 przeglądarka nie zablokuje połączenia.

W przypadku całkowitego wyłączenia SSL 3.0 nie ma żadnej możliwości połączenia za pomocą tej wersji protokołu.

Jest, ale nie działa

Wprowadzona zmiana została co prawda zaimplementowana jednak nie została włączona domyślnie. Microsoft zapowiedział, że zrobi to na początku lutego 2015r.

Na koniec warto wspomnieć, że Chrome wyłączył możliwość degradacji połączenia do SSL 3.0 wraz z wydaniem wersji 39, a Firefox 34 domyślnie wyłącza wsparcie dla SSL 3.0

Cookie	Duration	Description
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

Kryptosfera

Internet Explorer chroni przed SSL 3.0 fallback

Internet Explorer chroni przed SSL 3.0 fallback

Czym jest SSL fallback?

Jaka w takim razie jest różnica pomiędzy wyłączeniem SSL 3.0 fallback a całkowitym wyłączeniem SSL 3.0?

Jest, ale nie działa

Dodaj komentarz Anuluj pisanie odpowiedzi