Tym razem zajmiemy się tematem SSLv3 i tak często powtarzanego w sieci ataku POODLE. Jako że jest to blog dla osób mniej obeznanych z komputerem nie będę opisywał tutaj technicznym językiem co i jak. Zajmę się pokrótce wyjaśnieniem co to jest i dlaczego jest niebezpieczne. A na koniec pokażę jak wyłączyć obsługę SSLv3 w przeglądarce.

Co to jest SSLv3?

SSL jest certyfikatem który szyfruje transmisję danych, mówiąc w prost zapewnia że nasza komunikacja z serwerem jest zaszyfrowana i nie może być podsłuchiwana. Daje nam to pewność bezpiecznego korzystania z danej strony. Certyfikaty SSL stosuje się np. na stronach banków do zapewnienia nam bezpiecznego korzystania z np. naszego konta.
v3 to po prostu wersja.

 

Dlaczego SSLv3 jest niebezpieczny?

Otóż odkryto że SSLv3 zawiera błędy na poziomie projekotwania go, błędy te w skrócie umożliwiają podsłuchiwanie naszej komunikacji z serwerem. Jest to niebezpieczne chociażby dlatego iż atakujący może przejąć nasze połączenie. Jak dokładnie to działa oraz o szczegółowym opisie dziury przeczytacie chociażby na niebezpiecznik.pl

 

Jak wyłączyć obsługę SSLv3 w przeglądarce?

Jest to czynność stosunkowo prosta i pokaże ją na przykładzie najpopularniejszych przeglądarek.

Wyłączanie SSLv3 w Mozilla Firefox.

Jest to czynność bardzo prosta, polega na otworzeniu strony about:config

 

about:config

wyskoczy komunikat

ostrzezenie o gwarancji

Zatwierdzamy komunikat o groźbie utraty gwarancji. Następnie ustawiamy flagę security.tls.version.min na 1.

security-tls-version-min

Wyłączenie SSLv3 w Google Chrome.

W przypadku Chrome wyłączenie SSLv3 polega na zmodyfikowaniu skrótu, dopisujemy –ssl-version-min=tls1 tak jak poniżej.
chrome sslv3

Wyłączenie SSLv3 w Internet Explorer.

W przypadku wyłączenia SSLv3 w Internet Explorer sprawa wymaga kilku kliknięć więcej Panel Sterowania -> Opcje internetowe -> Zaawansowane i odznaczamy „Użyj SSL 3.0”.

explorer-sslv3Sprawdzenie czy korzystamy SSLv3.

Po wyłączeniu SSLv3 warto sprawdzić czy wszystko zroibiliśmy poprawnie. W tym celu wchodzimy na stronę https://www.poodletest.com i jeśli zobaczymy poniższą grafikę to znaczy że coś zrobiliśmy źle.

vulnsiteJeśli natomiast zobaczmy kundelka takiego jak poniżej wszystko wykonaliśmy poprawnie i zabezpieczyliśmy się :).

nonvuln

Jak sprawdzić czy dana strona wyłączyła już SSLv3?

Warto sprawdzić czy ważne dla nas strony wyłączyły już obsługę SSLv3. Można to zrobić korzystając np. ze strony https://www.tinfoilsecurity.com/poodle. Teraz ciekawostka, dzień po ujawnieniu dziury sprawdziłem 3banku T-Mobile Usługi bankowe, PEKAO S.A. i Eurobank. Z przykrością stwierdziłem że jedynym który zadbał o klientów był T-Mobile Usługi bankowe. Pisałem do pozostałych dwóch banków wczoraj tj. 16.10.2014 r. do teraz nie mam odpowiedzi.

Podobne artykuły

Podziel się artkułem!