In sechs Wochen Zeit Google veröffentlichen neue Version ihrer Browser Software verhindern Berufung auf einen Fehler in den SSL 3.0 Zertifikat.
Wie wir zu Beginn dieses Monats schrieb Google entdeckten eine Strömung in der SSL 3.0 Zertifikat von Web-Seiten und Server ermöglicht es Angreifern, Daten von Nutzern zu stehlen. Der Fehler gefunden wird offiziell als Padding Oracle On Downgraded Vermächtnis Verschlüsselung (POODLE). Was sie tut, ist erlaubt Hackern den Benutzern Informationen und Cookies von der so genannten Man-in-the-Middle stehlen (MITM) Technik, Berufung auf unsichere Verbindungen, wo sie es Benutzern, zurück in früheren Versionen wie die oben genannten Zertifikat fallen führen.
Google angekündigt, dass sie die Freigabe einer neuen Version ihrer Browser Chrome in der Zeit von sechs Wochen, um diese Fehler zu entfernen. Die Fähigkeit der neuen Browser-Version, auf falsche oder Buggy-Server zurückgreifen wird standardmäßig deaktiviert.
'SSLv3-Fallback wird nur benötigt, um buggy HTTPS-Server unterstützen. Server, die vollständig unterstützt nur SSLv3 werden weiter daran arbeiten (zur Zeit) aber einige Buggy-Servern möglicherweise nicht mehr. Die Antwort ist in diesen Fällen, um den Server zu beheben — TLS 1.0 fast 15 Jahre alt zu diesem Zeitpunkt ', Adam Langley, eine Google-Sicherheitsingenieur, sagte in einem Beitrag gibt die Veröffentlichung.
Fehlt die Zeit, um den Fehler für die Nutzer zurück zu buggy Servern fallen übersetzen, Chrome-Version 39 nur eine Fehlermeldung 'ERR_SSL_FALLBACK_BEYOND_MINIMUM_VERSION zeigen’ um das Problem zu identifizieren. Ein gelber Plakette in die Adressleiste des Browsers werden die Nutzer zu warnen, wenn sie Webseiten arbeiten mit SSL geben 3.0 und diese müssen mindestens TLS aktualisiert werden 1.0 vor Chrome 40 freigegeben.
→"Allerdings, ein Mangel an einer gelben Plakette bedeutet nicht, dass alles in Ordnung sein, da könnte noch Unterressourcen der Seite, die über SSLv3 Verbindungen bedient werden können. Entwickler können mit Chrome laufen –ssl-version-min = TLS1, um ihre Websites zu testen. ", Langley Post weiter.
Google Chrome 40 ist auf zwölf Wochen freigegeben werden, d.h.. 6 Wochen nach Chrome 39 Freilassung und SSL 3.0 Unterstützung wird komplett in seinem Code entfernt werden. Dies ist unter der Bedingung, dass alle Server TLS rüstet 1.0 Version zumindest dann wenn.
"Im Laufe der Zeit, SSLv3 Client-Unterstützung wird aus dem Code entfernt werden, so dass jeder wieder aktiviert SSLv3 und / oder Fallback auf ihn über Politik, Befehlszeilenoptionen oder über:Flaggen sollten nicht zu behandeln, dass als langfristige Lösung. ", warnt den Pfosten.
Anfang dieses Monats, um POODSLE Angriffe zu verhindern Mozilla kündigte auch dass sie die Freigabe einer neuen Version des Browsers - Mozilla 34. Es ist auf November fällig 25.
Benutzer, die mit Microsofts Internet Explorer kann ein Update, um das Problem zu vermeiden gelten, Folgende Microsofts Anleitung hier.
Jedoch, über sichere VPN-Verbindungen, vor allem an öffentlichen Orten, bleibt der beste Schutz gegen diese Angriffe.