Google Chrome: megszűnik az SSL 3.0 támogatása

A Google határozott lépésre szánta el magát: a Chrome 40-es verziójától kezdve megszünteti a sérülékeny SSLv3 támogatását. Emiatt lehetnek majd fennakadások.
 

Októberben a Google biztonsági kutatói egy súlyos sebezhetőséget fedeztek fel a még ma is gyakorta használt Secure Sockets Layer (SSL) 3.0-ás verziójában. A biztonsági hiba kihasználásával közbeékelődéses támadások indíthatók, és jogosulatlan adatszerzésre nyílhat lehetőségük a támadóknak. Olyan adatokhoz is hozzáférhetnek, amelyek alapvetően titkosított csatornán közlekednek, azonban a sérülékenység miatt visszafejthetővé válhatnak.
 
A POODLE néven elhíresült biztonsági probléma az SSL 3.0 eddigi legjelentősebb sérülékenysége, ami a Google szerint korántsem csak a protokoll gyengeségére vezethető vissza. Az SSLv3 ugyanis a 90-es évek közepén született meg, és olyan kriptográfiai eljárásokat támogat, amelyek mára idejét múlttá váltak. Ezért napjainkban a legtöbb HTTPS kapcsolat már a fejlettebb TLS (Transport Layer Security) protokollt használja, azonban mind a webböngészőkben, mind rengeteg webszerveren megmaradt az SSLv3 kompatibilitás. Ennek pedig az a magyarázata, hogy a böngészőfejlesztők nem akarják, hogy a régebbi kiszolgálókról származó webes tartalmak megjelenítése csorbát szenvedjen, míg a webszerverek üzemetetői a régebbi böngészők miatt tartják meg a sebezhető megoldást. Vagyis egy patthelyzet alakult ki, amit a Google most egy ütős lépéssel kíván feloldani. 
 
A Chrome fejlesztőcsapata úgy határozott, hogy a Chrome 40-es verziójától kezdve teljes mértékben megszünteti az SSLv3 támogatást. Ezelőtt azonban még a Chrome 39 kiadásával megpróbálja felmérni, hogy milyen hatása lehet ennek a lépésnek. A 39-es verzió ugyanis nem teszi majd lehetővé azt, hogy - akár támadó trükkök hatására - a böngésző visszalépjen az SSLv3 alapú kommunikációra, amikor a távoli kiszolgálóval TLS alapon is együtt tudna működni.
 
„A Chrome 40 kapcsán azt tervezzük, hogy teljes mértékben kikapcsoljuk az SSLv3 üzemmódot, de rajta fogjuk tartani a szemünket a kompatibilitási problémákon, amelyek felüthetik a fejüket. A Chrome 39-es kiadásában a lakat ikon felett elhelyezett kis sárga piktogrammal fogjuk jelezni azt, hogy éppen SSLv3 alapú kommunikáció zajlik. Ezeket a weboldalakat (kiszolgálókat) az üzemeltetőknek a Chrome 40 megjelenéséig frissíteniük kell" - nyilatkozta Adam Langley, a Google biztonsági mérnöke. A Chrome 39 már béta fázisban van, és nemsokára elérhetővé válhat a végleges kiadás. A Chrome 40 megjelenése pedig két hónapon belül esedékes.
 
Nemcsak a Google aggódik

Az SSL Pulse felmérése szerint a világ legnagyobb forgalmú, HTTPS-támogatással rendelkező 150 ezer weboldalának 98 százaléka még lehetővé teszi az SSLv3 alapú adatforgalmat amellett, hogy a TLS kompatibilitást is biztosítja. Ezért nem csoda, hogy már a Microsoft és a Mozilla is lépésekre szánta el magát. A Microsoft egy Fix it eszközt adott ki az SSL 3.0 Internet Explorerben történő kikapcsolásához, míg a Mozilla a november 25-én megjelenő Firefox 34 esetében változtatja meg az alapértelmezett beállításokat, és "iktatja ki" a sebezhető protokoll által jelentett kockázatokat.