Giao thức SSL v3 chính thức bị “khai tử”

Những cuộc tấn công POODLE và BEAST đã từng khiến quản trị viên máy chủ mất ăn mất ngủ đều liên quan đến giao thức SSL v3. Hầu hết trình duyệt web đều loại bỏ điều kiện đặc thù khiến các cuộc tấn công này xảy ra. Các chuyên gia bảo mật đang kêu gọi cộng đồng chuyển sang giao thức TLS 1.2 an toàn hơn.

Lực Lượng Quản Lý Kỹ Thuật Internet (IETF-The Internet Engineering Task Force) đã chính thức lên tiếng “khai tử” SSLv3. Trong tài liệu chuẩn RFC7568 đã xác nhận SSLv3 hoàn toàn không bảo mật và bị cấm trong những ứng dụng mới.

Giao thức SSL v3 chính thức bị “khai tử”

Giao thức SSL v3 là trung tâm gây ra cuộc tấn công POODLE, được phát hiện vào tháng 10 năm ngoái bởi các nhà nghiên cứu Google. POODLE dẫn đến rò rỉ kết nối bảo mật. Khi máy chủ không thể tạo ra kết nối TLS 1.2 hoặc giao thức bảo mật khác, chúng sẽ tự động chuyển về giao thức cũ như SSLv3. Tin tặc đứng ở vị trí man-in-the-middle dễ dàng giải mã kết nối SSLv3. Bằng cách thực thi mã JavaScript độc hại trên trình duyệt web của nạn nhân, tin tặc chỉ cần 256 web request để nhận được mỗi byte của một cookie trình duyệt.

Microsoft, Google và Mozilla đều đã loại bỏ giao thức SSL v3 ra khỏi trình duyệt của mình. Tài liệu của IETF cho biết: “SSLv3 bị cấm sử dụng. Thỏa thuận SSLv3 từ bất kì phiên bản TLS nào đều bị cấm. Khuyến cáo sử dụng bất kì phiên bản TLS nào bảo mật hơn giao thức SSL v3, phiên bản càng cao càng tốt.”

threatpost