Google Chrome: megszűnik az SSL 3.0 támogatása

A Google határozott lépésre szánta el magát: a Chrome 40-es verziójától kezdve megszünteti a sérülékeny SSLv3 támogatását. Emiatt lehetnek majd fennakadások.
 

Októberben a Google biztonsági kutatói egy súlyos sebezhetőséget fedeztek fel a még ma is gyakorta használt Secure Sockets Layer (SSL) 3.0-ás verziójában. A biztonsági hiba kihasználásával közbeékelődéses támadások indíthatók, és jogosulatlan adatszerzésre nyílhat lehetőségük a támadóknak. Olyan adatokhoz is hozzáférhetnek, amelyek alapvetően titkosított csatornán közlekednek, azonban a sérülékenység miatt visszafejthetővé válhatnak.
 
A POODLE néven elhíresült biztonsági probléma az SSL 3.0 eddigi legjelentősebb sérülékenysége, ami a Google szerint korántsem csak a protokoll gyengeségére vezethető vissza. Az SSLv3 ugyanis a 90-es évek közepén született meg, és olyan kriptográfiai eljárásokat támogat, amelyek mára idejét múlttá váltak. Ezért napjainkban a legtöbb HTTPS kapcsolat már a fejlettebb TLS (Transport Layer Security) protokollt használja, azonban mind a webböngészőkben, mind rengeteg webszerveren megmaradt az SSLv3 kompatibilitás. Ennek pedig az a magyarázata, hogy a böngészőfejlesztők nem akarják, hogy a régebbi kiszolgálókról származó webes tartalmak megjelenítése csorbát szenvedjen, míg a webszerverek üzemetetői a régebbi böngészők miatt tartják meg a sebezhető megoldást. Vagyis egy patthelyzet alakult ki, amit a Google most egy ütős lépéssel kíván feloldani. 
 
A Chrome fejlesztőcsapata úgy határozott, hogy a Chrome 40-es verziójától kezdve teljes mértékben megszünteti az SSLv3 támogatást. Ezelőtt azonban még a Chrome 39 kiadásával megpróbálja felmérni, hogy milyen hatása lehet ennek a lépésnek. A 39-es verzió ugyanis nem teszi majd lehetővé azt, hogy - akár támadó trükkök hatására - a böngésző visszalépjen az SSLv3 alapú kommunikációra, amikor a távoli kiszolgálóval TLS alapon is együtt tudna működni.