SSL 3.0协议又出安全问题,Google打算彻底抛弃它_最新动态_新闻资讯_程序员俱乐部

中国优秀的程序员网站程序员频道CXYCLUB技术地图
热搜:
更多>>
 
您所在的位置: 程序员俱乐部 > 新闻资讯 > 最新动态 > SSL 3.0协议又出安全问题,Google打算彻底抛弃它

SSL 3.0协议又出安全问题,Google打算彻底抛弃它

 2014/10/15 17:48:30    程序员俱乐部  我要评论(0)
  • 摘要:今天Google又发现3.0版本的SSL安全协议中存在的巨大问题,更让人不安的是现在几乎所有的浏览器中都支持这个存在问题的协议。根据Google安全博客上的消息,这次新发现的SSL设计缺陷让攻击者可以通过特定的手法获取客户端和服务器之间的加密数据,需要加密传输的很多是涉及到用户隐私,例如账号、密码之类的敏感信息。具体来说,已经有差不多15年历史之久的SSL3.0协议已经足够老了,它的继任者TLS(传输层安全协议)虽然可以实现和SSL类似的功能,但出于用户体验方面的考虑
  • 标签:Google 问题 打算 协议
class="topic_img" alt=""/>

  今天 Google 又发现 3.0 版本的 SSL 安全协议中存在的巨大问题,更让人不安的是现在几乎所有的浏览器中都支持这个存在问题的协议。

  根据 Google 安全博客上的消息,这次新发现的 SSL 设计缺陷让攻击者可以通过特定的手法获取客户端和服务器之间的加密数据,需要加密传输的很多是涉及到用户隐私,例如账号、密码之类的敏感信息。具体来说,已经有差不多 15 年历史之久的 SSL 3.0 协议已经足够老了,它的继任者 TLS(传输层安全协议)虽然可以实现和 SSL 类似的功能,但出于用户体验方面的考虑,很多服务会选择向后兼容 SSL,而这恰恰就给攻击者留下了可乘之机。

  现在,即使一个客户端和服务器都支持 TLS,但为了解决 HTTPS 服务器端互操作性的 bug,很多客户端还是会通过协议降级的方式使用 SSL 3.0。这样以来攻击者就可以用触发失败连接的方式激活 SSL 3.0 协议,接着自然也就可以利用 SSL 3.0 中的漏洞了。

  Google 的三位员工在发现这其中的问题后建议大家在客户端和服务器上禁用 SSL 3.0 安全协议,这样一来双方之间的通信将被迫通过 TSL 进行,攻击者自然就没法利用 SSL 3.0 协议中的设计缺陷了。

  当然,把安全问题完全交给终端用户明显是不太合适的,所以 Google 已经开始在 Chrome 中测试禁止回滚到 SSL 3.0 的功能,这也就意味着一些网站可能也要做出一些对应的更新。在接下来几个月,Google 希望能把 SSL 3.0 从旗下的客户端产品中彻底移除。

  对于 Firefox 用户,你可以直接通过 SSL Version Control 禁掉 SSL 3.0。在计划于 11 月 25 发布的 Firefox 34 中,Mozilla 也将彻底禁掉 SSL 3.0,而 Firefox Nightly 则在今晚就可以得到相关的代码。

  图片来自:Shutterstock

发表评论
用户名: 匿名