Googleは、SSLのバグに依存することを防ぐために、6週間以内に新しいバージョンのブラウザをリリースします。 3.0 証明書.
今月初めに書いたように GoogleがSSLのフローを発見しました 3.0 証明書 攻撃者がユーザーから情報を盗むことを可能にするWebサイトとサーバーの. 見つかった欠陥は、正式には、ダウングレードされたレガシー暗号化でのOracleのパディングと呼ばれます (プードル). それが行うことは、ハッカーがいわゆる中間者攻撃によってユーザーの情報とCookieを盗むことを可能にすることです。 (MITM) 技術, 安全でない接続に依存しているため、ユーザーは上記の証明書のような以前のバージョンにフォールバックします。.
Googleは、その欠陥を取り除くために、6週間以内にChromeブラウザの新しいバージョンをリリースすると発表しました。. 間違ったサーバーやバグのあるサーバーにフォールバックする新しいブラウザのバージョンの機能は、デフォルトで無効になります.
'SSLv3-フォールバックは、バグのあるHTTPSサーバーをサポートするためにのみ必要です. SSLv3のみを正しくサポートするサーバーは引き続き機能します (今のところ) ただし、一部のバグのあるサーバーは機能しなくなる可能性があります. これらの場合の答えは、サーバーを修正することです — TLS 1.0 ほぼ 15 この時点で歳」, アダムラングレー, Googleのセキュリティエンジニア, 投稿で言った リリースを発表.
バグのあるサーバーにフォールバックするユーザーのエラーを変換する時間がない, Chromeのバージョン 39 'ERR_SSL_FALLBACK_BEYOND_MINIMUM_VERSIONを示すエラーメッセージのみが表示されます’ 問題を特定する. ブラウザのアドレスバーにある黄色のバッジは、SSLを使用しているサイトにアクセスしたときにユーザーに警告します 3.0 これらは少なくともTLSにアップグレードする必要があります 1.0 Chromeの前 40 解放されます.
→'でも, 黄色のバッジがないからといって、SSLv3接続を介して提供されるページのサブリソースがまだ存在する可能性があるため、すべてが正常であるとは限りません。. 開発者はChromeをで実行できます –彼らのサイトをテストするためにssl-version-min=tls1。, ラングレーの投稿は続く.
グーグルクローム 40 12週間以内にリリースされる予定です, すなわち. 6 Chrome39のリリースとSSLの数週間後 3.0 サポートはそのコードで完全に削除されます. これは、すべてのサーバーがTLSにアップグレードされているという条件の下にあります 1.0 少なくともその時までにバージョン.
'時間内に, SSLv3クライアントのサポートはコードから削除されます, したがって、SSLv3を再度有効にしたり、ポリシーを介してSSLv3にフォールバックしたりする人, コマンドラインオプションまたは約:フラグはそれを長期的な解決策として扱うべきではありません。」, 投稿に警告.
POODSLE攻撃を防ぐために今月初め Mozillaも発表しました 彼らはブラウザの新しいバージョン–Mozillaをリリースする予定です 34. 11月の予定です 25.
MicrosoftのInternetExplorerを使用しているユーザーは、問題を防ぐために修正を適用できます, 続く マイクロソフトのガイドはこちら.
でも, 安全なVPN接続を使用する, 特に公共の場所で, これらの攻撃に対する最善の保護を維持します.
