Wydana 1 grudnia przeglądarka Firefox w wersji 34 przynosi zapowiadaną wcześniej zmianę – wyłączenie domyślnego wsparcia dla protokołu SSL w wersji 3.0. Identyczną zmianę Mozilla wprowadziła w swoim kliencie pocztowym – Thunderbird, wersja 31.3.0. Podobne zmiany czekają nas również w najbliższej przyszłości w innych przeglądarkach.
Zmiany wymuszone przez POODLE
SSL to skrót od Secure Sockets Layer, jest to protokół kryptograficzny pozwalający na bezpieczną (szyfrowaną) komunikację w Internecie. Oprócz poufności (realizowanej poprzez szyfrowanie), protokół ten pozwala na uwierzytelnienie serwera wobec klienta i odwrotnie (opcjonalnie). Do realizacji tych celów wykorzystywane są certyfikaty klucza publicznego x509. Protokół w wersji 3.0 został opublikowany 1995r., w poźniejszych latach został zastąpiony przez TLS (Transport Layer Security). Obecnie najnowsza implementacja TLS to wersja 1.2 pochodząca z 2008r.
Decyzja o wyłączeniu protokołu SSL 3.0 została podjęta po opublikowaniu przez zespół Google podatności dotyczącej tej właśnie wersji protokołu. Informacja o podatności nazwanej POODLE (Padding Oracle On Downgraded Legacy Encryption) sprawiła, że producenci przeglądarek przyśpieszyli wyłączenie starego, zawierającego – oprócz wyżej wymienionej – wiele innych podatności, protokołu SSL 3.0.
Mozilla zrobiła to w wersji 34 Firefoxa. Google zapowiedziało wyłączenie domyślnego wsparcia dla SSL 3.0 w Chrome w wersji 40. Windows ogłosił, że planuje zrobić to w przeciągu najbliższych miesięcy w Internet Explorerze, podobnie wygląda sprawą z Operą.
Jak wyłączenie SSL 3.0 wpłynie na użytkowników?
Oczywiste jest to, że wyłączenie protokołu SSL 3.0 podniesie poziom bezpieczeństwa użytkowników. Niektórzy z Was po aktualizacji Firefoxa do wersji 34 natknęli lub natkną się na poniższy komunikat:
Przyczyną wyświetlenia takiego komunikatu błędu może być brak wsparcia po stronie serwera dla nowszych niż SSL 3.0 protokołów (TLS 1.0, 1.1 lub 1.2). W takim przypadku najlepiej poinformować właściciela danej strony o tym fakcie i liczyć na to, że wprowadzi niezbędne zmiany w konfiguracji tak szybko jak tylko będzie to możliwe.
Jest jeszcze druga opcja obejścia „problemu”, ale nie jest ona zalecana. To, że protokół SSL 3.0 został wyłączony w domyślnych ustawieniach przeglądarki nie oznacza, że został z niej całkowicie usunięty. Istnieje opcja przywrócenia możliwości zestawiania połączeń z wykorzystaniem protokołu SSL 3.0. Aby ją włączyć wystarczy w pasku adresu wpisać about:config, następnie odnaleźć paremetr security.tls.version.min i ustawić jego wartość na 0, które odpowiada protokołowi SSL 3.0. Podkreślam raz jeszcze, że opcję tę przedstawiam tylko czysto teoretycznie i stanowczo odradzam jej wykorzystanie. Wprowadzenie tej modyfikacji naraża Was na wszystkie niebezpieczeństwa na które narażony jest protokół SSL w wersji 3.0 (włączając w to wspomniany wcześniej POODLE).
Jeżeli jedynym wspieranym przez Wasz serwer protokołem SSL/TLS jest ten w wersji SSL 3.0 lub niższej, należy włączyć wsparcie dla minimum TLS 1.0. Pozwoli to nie tylko na podniesienie bezpieczeństwa użytkowników Waszych serwisów, ale także – w obliczu zmian wprowadzanych w przeglądarkach – na wyeliminowanie problemów z całkowitym brakiem możliwość nawiązania bezpiecznego połączenia z Waszym serwerem.