Internet Explorer chroni przed SSL 3.0 fallback

Internet Explorer chroni przed SSL 3.0 fallback

Czekając na całkowite wyłączenie protokołu SSL 3.0 w przeglądarce Internet Explorer, Microsoft jako doraźne rozwiązanie wdrożył mechanizm chroniący jej użytkowników przed możliwością wymuszenia przez atakującego nawiązywania bezpiecznych połączeń HTTPS z wykorzystaniem starej wersji protokołu.

Czym jest SSL fallback?

Wdrożenie zmian w IE związane jest z opublikowaniem – w połowie października – przez Google informacji o podatności protokołu SSL 3.0 – POODLE. Podatność ta może zostać wykorzystana przez sposób w jaki przeglądarki internetowe negocjują połączenie HTTPS z serwerem.

Łącząc się ze stroną wykorzystującą HTTPS przeglądarki starają się robić to za pomocą najnowszej obecnie wersji protokołu TLS – 1.2. W przypadku braku wsparcia po stronie serwera dla TLS 1.2 próbują negocjacji połączenia za pomocą TLS 1.1., a jeżeli serwer nie wspiera także TLS 1.1 próbują z TLS 1.0 i tak dalej, aż do SSL 3.0. Atakujący może, poprzez przechwytywanie ruchu sieciowego pomiędzy przeglądarką a serwerem, sprawić, że połączenie zestawione zostanie z wykorzystaniem protokołu SSL 3.0 zamiast z którejś z jego nowszych wersji (TLS 1.0/1.1/1.2). Mówiąc inaczej, może zdegradować wersje wykorzystywanego protokołu. Wprowadzona przez Microsoft zmiana chroni jej użytkowników przed możliwością „zejścia” do podatnego m.in. na atak POODLE protokołu SSL 3.0.

Jaka w takim razie jest różnica pomiędzy wyłączeniem SSL 3.0 fallback a całkowitym wyłączeniem SSL 3.0?

Być może niektórzy z Was zadali sobie to pytanie w trakcie czytania tego wpisu. Otóż, jak sama nazwa wskazuje, wyłączenie mechanizmu SSL fallback dla protokołu w wersji 3.0 chroni przed możliwością zejścia z nowszej wersji protokołu do starszej. Oznacza to, że jeżeli serwer posiada np. wsparcie dla TLS 1.0 oraz SSL 3.0 to nawiązanie połączenia za pomocą tego drugiego nie będzie możliwe. Jednak w przypadku, gdy serwer wspiera tylko SSL 3.0 przeglądarka nie zablokuje połączenia.

W przypadku całkowitego wyłączenia SSL 3.0 nie ma żadnej możliwości połączenia za pomocą tej wersji protokołu.

Jest, ale nie działa

Wprowadzona zmiana została co prawda zaimplementowana jednak nie została włączona domyślnie. Microsoft zapowiedział, że zrobi to na początku lutego 2015r.

Na koniec warto wspomnieć, że Chrome wyłączył możliwość degradacji połączenia do SSL 3.0 wraz z wydaniem wersji 39, a Firefox 34 domyślnie wyłącza wsparcie dla SSL 3.0

Podziel się:Share on Facebook
Facebook
0Tweet about this on Twitter
Twitter

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *