Google sẽ bỏ SSL 3.0 khỏi Chrome 40

Thứ ba, 04/11/2014 09:06 đăng bởi CISO

Google có kế hoạch loại bỏ hỗ trợ mã hóa giao thức Secure Sockets Layer (SSL) phiên bản 3.0 trong Google Chrome 40, dự kiến ​​sẽ phát hành khoảng hai tháng sau.

Quyết định được đưa ra sau khi các nhà nghiên cứu bảo mật của Google gần đây đã phát hiện ra một lỗ hổng thiết kế nguy hiểm trong SSL 3.0. Lỗ hổng được đặt tên là POODLE, lỗ hổng này cho phép kẻ tấn công theo kiểu man-in-the-middle để phục hồi thông tin nhạy cảm, văn bản đơn giản như xác thực cookie từ một kết nối HTTPS (HTTP an toàn) được mã hóa với SSLv3.

Mặc dù Poodle là vấn đề an ninh lớn nhất được tìm thấy trong SSL 3.0 cho đến nay, nó không phải là điểm yếu duy nhất của giao thức. SSL version 3 được thiết kế vào giữa những năm 1990 và hỗ trợ bộ mã lỗi thời mà bây giờ được coi là không an toàn từ quan điểm mật mã.

Các kết nối HTTPS ngày nay thường sử dụng TLS (Transport Layer Security) phiên bản 1.0, 1.1 hoặc 1.2. Tuy nhiên, nhiều trình duyệt và máy chủ vẫn hỗ trợ cho SSL 3.0 trong những năm qua - trình duyệt để hỗ trợ kết nối an toàn với các máy chủ cũ và các máy chủ hỗ trợ kết nối an toàn với các trình duyệt cũ.

Hoạt động của Giao thức SSL/TLS (Ảnh minh họa từ Internet)

Vào ngày 14/10 vừa qua, khi lỗ hổng POODEL được tiết lộ công khai, Google nói rằng họ hy vọng sẽ loại bỏ hoàn toàn hỗ trợ cho SSL 3.0 khỏi các sản phẩm khách hàng của mình trong những tháng tới. Kỹ sư bảo mật của Google, Adam Langley đã cung cấp thêm chi tiết về điều đó có ý nghĩa thế nào với Chrome. Theo Langley, Chrome 39 hiện đang trong phiên bản beta và sẽ được phát hành trong hai tuần nữa, sẽ không hỗ trợ cơ chế dự phòng SSL 3.0, ngăn chặn kẻ tấn công từ hạ cấp kết nối TLS.

Langley nói "Trong Chrome 40, chúng tôi có kế hoạch vô hiệu hóa hoàn toàn SSL v3, chúng tôi đang theo dõi vấn đề tương thích có thể xảy ra. Để chuẩn bị cho điều này, Chrome 39 sẽ hiển thị một huy hiệu màu vàng trên biểu tượng khóa cho các trang web SSLv3. Những trang web này cần phải được cập nhật lên tối thiểu là TLS 1.0 trước khi Chrome 40 được phát hành."

Google Chrome thường được phát hành sau chu kỳ sáu tuần cho phiên bản chính. Chrome 38 ổn định được phát hành vào ngày 07 tháng 10, có nghĩa là Chrome 40 có thể sẽ đến được phát hành vào cuối tháng 12.

Theo CSO

Tin liên quan

Yahoo mã hóa tất cả mọi thứ!

Thêm bình luận

Thông tin thêm về định dạng văn bản

Plain text

  • Không được dùng mã HTML.
  • Các địa chỉ web và email sẽ tự động được chuyển sang dạng liên kết.
  • Tự động ngắt dòng và đoạn văn.