Luka w protokole SSLv3 - POODLE

Opis problemu

14 października 2014 r. firma Google opublikowała na swoim blogu szczegóły dotyczące luki nazwanej POODLE. Luka dotyczy przestarzałego protokołu SSLv3, którego specyfikacja została ogłoszona prawie 18 lat temu. Nowszymi specyfikacjami są protokoły TLSv1, TLSv1.1 i TLSv1.2, które nie są podatne na tę lukę.

Za pomocą tej luki napastnik odszyfrować zawartość przesyłanej wiadomości w połączeniu protokołem SSLv3. Dla przykładu: można przechwycić ciasteczka z przeglądarki, co dalej umożliwia przechwycenie sesji użytkownika serwisu. Problem może występować nawet wtedy, gdy serwer obsługuje nowe protokoły (TLSv1, TLSv1.1 i TLSv1.2). Napastnik może wymusić ruch sieciowy, obniżając połączenie do wersji SSLv3. Dlatego zaleca się administratorom całkowite wyłączenie SSLv3 na serwerze.

Co ważne – luka POODLE dotyczy implementacji protokołu SSL. Nie jest to wada ani luka w certyfikatach wystawców: RapidSSL, GeoTrust, Thawte lub Symantec.


Jak sprawdzić, czy moja strona internetowa z certyfikatem SSL jest podatna na odkrytą lukę?

Istnieje bardzo duże prawdodobieństwo, że Twój serwer na szczęście nie obsługuje przestarzałego od lat protokołu SSLv3, a Twój administrator wyłączył obsługę tego protokołu. Aby sprawdzić podatność serwisu na ww. lukę, przejdź pod jeden z poniższych linków i wpisz adres strony swojego serwisu:

Jeżeli w wyniku skanowania otrzymasz poniższy komunikat, to należy podjąć dalsze akcje polegające na wyłączeniu protokołu SSLv3.

Recommendations
Your server may be vulnerable: SSLv3 is enabled
Your server uses SSLv3, which is vulnerable protocol. Disable SSLv3 and use TLS 1.0 or higher.

lub


This server uses SSL 3, with POODLE mitigated. Still, it's recommended that this protocol is disabled.

Jak usunąć lukę po stronie serwera?

Jestem administratorem serwera:

Jeżeli administrujesz swoim serwerem i do tej pory nie wyłączyłeś protokołu SSLv3, zaleca się wyłączenie tego protokołu w używanych usługach internetowych. Poniżej linki z zalecanymi instrukcjami konfiguracji w popularnych serwerach.

Jestem użytkownikiem/osobą zarządzającą/właścicielem strony

Jeżeli uważasz, że luka nadal istnieje na twojej stronie, powiadom o tym swojego administratora serwera.


Jak usunąć lukę po stronie przeglądarki?

Na chwilę publikacji tego komunikatu część z producentów usunęła problem poprzez wydanie aktualizacji do swoich przeglądarek.

  • Firefox – błąd usunięty w wersji 33.
  • Chrome – błąd usunięty w wersji 38.
  • Internet Explorer – błąd nie został jeszcze usunięty. Zaleca się wyłączenie obsługi SSLv3 za pomocą Panelu Sterowania, wybierając Opcje internetowe -> zakładka Zaawansowane -> odznaczyć Użyj SSL 3.0 jednocześnie upewniając się, czy są włączone protokoły TLS (wszystkie dostępne).

Jak sprawdzić, czy moja przeglądarka nadal jest podatna na lukę:

https://www.poodletest.com


Czy należy dokonać wymany certyfikatu na nowy?

W przypadku tej luki nie ma takiej potrzeby.