O tym, że protokół SSL w wersji 3 nie gwarantuje bezpiecznej transmisji danych wiadomo nie od dziś. Opublikowany właśnie dokument RFC 7568 całkowicie zakazuje jego wykorzystywania.
Wyłączenie SSL 3.0 fallback w IE i niespodziewany błąd…
W wydanym wczoraj tzw. Patch Tuesday, czyli paczce aktualizacji bezpieczeństwa przeznaczonej dla produktów firmy Microsoft publikowanej w drugi wtorek każdego miesiąca, znalazła się m.in. zmiana będąca pokłosiem głośnej podatności POODLE – wyłączenie SSL 3.0 fallback. Na końcu tego wpisu znajduje się także opis błędu, na który natknąłem się w trakcie jego tworzenia.
Internet Explorer chroni przed SSL 3.0 fallback
Czekając na całkowite wyłączenie protokołu SSL 3.0 w przeglądarce Internet Explorer, Microsoft jako doraźne rozwiązanie wdrożył mechanizm chroniący jej użytkowników przed możliwością wymuszenia przez atakującego nawiązywania bezpiecznych połączeń HTTPS z wykorzystaniem starej wersji protokołu.
Firefox wyłącza wsparcie dla SSL 3.0
Wydana 1 grudnia przeglądarka Firefox w wersji 34 przynosi zapowiadaną wcześniej zmianę – wyłączenie domyślnego wsparcia dla protokołu SSL w wersji 3.0. Identyczną zmianę Mozilla wprowadziła w swoim kliencie pocztowym – Thunderbird, wersja 31.3.0. Podobne zmiany czekają nas również w najbliższej przyszłości w innych przeglądarkach.