Em seis semanas, o Google está lançando uma nova versão de seu navegador para evitar a dependência de um bug no SSL 3.0 Certificado.
Como escrevemos no início deste mês O Google descobriu um fluxo no SSL 3.0 certificado de sites e servidores, permitindo que invasores roubem informações dos usuários. A falha encontrada é oficialmente chamada de Padding Oracle On Downgraded Legacy Encryption (POODLE). O que isso faz é permitir que hackers roubem informações e cookies dos usuários pelo chamado Man-in-the-Middle (MITM) técnica, depender de conexões não seguras, onde levam os usuários a voltar para versões anteriores, como o certificado mencionado acima.
O Google anunciou que lançará uma nova versão de seu navegador Chrome em seis semanas para remover essa falha. A capacidade da nova versão do navegador de recorrer a servidores errados ou com bugs será desativada por padrão.
‘SSLv3-fallback é necessário apenas para oferecer suporte a servidores HTTPS com bugs. Os servidores que suportam corretamente apenas SSLv3 continuarão a funcionar (para agora) mas alguns servidores com erros podem parar de funcionar. A resposta nesses casos é consertar o servidor — TLS 1.0 está quase 15 anos de idade neste ponto ’, Adam Langley, um engenheiro de segurança do Google, disse em uma postagem anunciando o lançamento.
Falta de tempo para traduzir o erro para usuários que recorrem a servidores com bugs, Versão do Chrome 39 mostrará apenas uma mensagem de erro informando ‘ERR_SSL_FALLBACK_BEYOND_MINIMUM_VERSION’ para identificar o problema. Um emblema amarelo na barra de endereço do navegador alertará os usuários quando eles entrarem em sites que trabalham com SSL 3.0 e estes terão que ser atualizados para, pelo menos, TLS 1.0 antes do Chrome 40 é libertado.
→'Contudo, a falta de um selo amarelo não significa que tudo ficará bem, pois ainda pode haver sub-recursos da página que são servidos por conexões SSLv3. Os desenvolvedores podem executar o Chrome com –ssl-version-min = tls1 para testar seus sites. ’, A postagem de Langley continua.
Google Chrome 40 deve ser lançado em doze semanas, i.e. 6 semanas após o lançamento do Chrome 39 e SSL 3.0 o suporte será completamente removido em seu código. Isso ocorre com a condição de que todos os servidores sejam atualizados para TLS 1.0 versão pelo menos até então.
'Em tempo, O suporte ao cliente SSLv3 será removido do código, assim, qualquer pessoa reativando SSLv3 e / ou fallback para ele por meio de política, opções de linha de comando ou sobre:sinalizadores não devem tratar isso como uma solução de longo prazo. ”, avisa o post.
No início deste mês, a fim de evitar ataques POODSLE Mozilla também anunciou que eles estarão lançando uma nova versão do navegador - Mozilla 34. É devido em novembro 25.
Os usuários que trabalham com o Internet Explorer da Microsoft podem aplicar uma correção para evitar o problema, Segue Guia da Microsoft aqui.
Contudo, usando conexões VPN seguras, especialmente em lugares públicos, continua a ser a melhor proteção contra esses ataques.