Google отказывается от поддержки SSL 3.0

Команда безопасности Google опубликовала подробности уязвимости SSL версии 3.0, которая позволяет перехватывать текст из безопасных соединений сетевыми хакерами.

Версии SSL 3.0 почти 18 лет, но ее поддержка остается широко распространенным явлением. Ее поддерживают почти все браузеры: чтобы обойти ошибки в HTTPS серверах, браузеры осуществляют повторные попытки соединения с более старыми версиями протокола, в том числе SSL 3.0. Поскольку сетевые хакеры могут вызвать сбои подключения, они также могут вызвать использование SSL 3.0, а затем использовать это в своих целях.

Отключение поддержки SSL 3.0, или шифров CBC-mode с SSL 3.0, достаточно, чтобы смягчить эту проблему, но это также создает значительные проблемы совместимости. Поэтому команда безопасности Google рекомендует поддержку TLS_FALLBACK_SCSV. Это механизм, который решает проблемы, вызванные неудачными повторными соединениями, и тем самым закрывает возможность злоумышленникам инициировать использование SSL 3.0. Это также предотвращает понижение с TLS 1.2 до 1.1 или 1.0 и тем самым может помочь предотвратить будущие атаки.

Google Chrome и серверы Google поддерживают TLS_FALLBACK_SCSV с февраля и, таким образом, у команды безопасности есть доказательства того, что он может быть использован без проблем с совместимостью. Кроме того, Google Chrome начнет тестирование изменений, запрещающих возврат к SSL 3.0. Это изменение будет нарушать работу некоторых сайтов, и эти сайты будут нуждаться в быстром обновлении.

В ближайшие месяцы Google планирует полностью отказаться от поддержки SSL 3.0 в клиентских продуктах.

В апреле 2014 года сообщалось, что специалисты Google всерьёз задумались о расширении списка факторов ранжирования: в ближайшем будущем сайты, использующие протокол SSL-шифрования, могут начать ранжироваться выше остальных. Ожидалось, что изменение может быть реализовано в ближайшее время.