SSL 3.0协议又出安全问题,Google打算彻底抛弃它

jopen 9年前

        今天 Google 又发现 3.0 版本的 SSL 安全协议中存在的巨大问题,更让人不安的是现在几乎所有的浏览器中都支持这个存在问题的协议。

        根据 Google 安全博客上 的消息,这次新发现的 SSL 设计缺陷让攻击者可以通过特定的手法获取客户端和服务器之间的加密数据,需要加密传输的很多是涉及到用户隐私,例如账号、密码之类的敏感信息。具体来说, 已经有差不多 15 年历史之久的 SSL 3.0 协议已经足够老了,它的继任者 TLS(传输层安全协议)虽然可以实现和 SSL 类似的功能,但出于用户体验方面的考虑,很多服务会选择向后兼容 SSL,而这恰恰就给攻击者留下了可乘之机。

        现在,即使一个客户端和服务器都支持 TLS,但为了解决 HTTPS 服务器端互操作性的 bug,很多客户端还是会通过协议降级的方式使用 SSL 3.0。这样以来攻击者就可以用触发失败连接的方式激活 SSL 3.0 协议,接着自然也就可以利用 SSL 3.0 中的漏洞了。

        Google 的三位员工在发现这其中的问题后建议大家在客户端和服务器上禁用 SSL 3.0 安全协议,这样一来双方之间的通信将被迫通过 TSL 进行,攻击者自然就没法利用 SSL 3.0 协议中的设计缺陷了。

        当然,把安全问题完全交给终端用户明显是不太合适的,所以 Google 已经开始在 Chrome 中测试禁止回滚到 SSL 3.0 的功能,这也就意味着一些网站可能也要做出一些对应的更新。在接下来几个月,Google 希望能把 SSL 3.0 从旗下的客户端产品中彻底移除。

        对于 Firefox 用户,你可以直接通过 SSL Version Control 禁掉 SSL 3.0。在计划于 11 月 25 发布的 Firefox 34 中,Mozilla 也将彻底禁掉 SSL 3.0,而 Firefox Nightly 则在今晚就可以得到相关的代码。