poodle-compressorLa sicurezza online è un processo in continua evoluzione, i protocolli di sicurezza vengono migliorati e sviluppati continuamente per mantenere i dati e le comunicazioni sicure.

Dopo essere stato rilasciato circa 15 anni fa SSL 3.0 è ormai vecchio.

Benché l’SSL sia stato sostituito dal Transport Layer Security, è ancora supportato da server e client, ed è richiesto, ad esempio, per offrire la compatibilità con Internet Explorer 6.

Negli ultimi giorni, Bodo Möller del team di sicurezza di Google ha annunciato di aver scoperto una vulnerabilità nel vecchio protocollo SSL 3.0, con il nome in codice BARBONCINO (acronimo di Padding Oracle On Downgraded Legacy Encryption). Questa vulnerabilità permette ad un hacker di decifrare singoli byte alla volta di dati cifrati, estraendo il testo in chiaro del messaggio byte dopo byte.

Dopo aver effettuato un’analisi dettagliata del traffico che “scorre” attraverso la nostra rete, abbiamo deciso di rimuovere del tutto la compatibilità SSL 3.0 dai nostri server.

Il bug non è grave quanto Heartbleed, ma è rilevante giacché l’SSL è un protocollo usato per proteggere i dati in transito tra un sito web e gli utenti; se viene compromesso, anche i dati degli utenti potrebbero essere a rischio.

Abbiamo aggiornato con una patch tutti i nostri server per rimuove SSL 3.0 il che significa che i nostri server non sono più vulnerabili agli attacchi del BARBONCINO.

Si tratta di una soluzione per noi adeguata, infatti in base alle nostre analisi abbiamo registrato frazioni molto piccole di richieste su SSL 3.0 ( meno dello 0,02%).

Società come CloudFlare hanno già annunciato di aver disabilitato per default l’SSLv3 dai propri server e probabilmente anche altre faranno lo stesso.

A detta di CloudFlare solo lo 0.65% del suo traffico HTTPS sfruttava a ogni modo SSLv3.

Mozilla ha fatto sapere che disabiliterà automaticamente il supporto a SSLv3 con l’update a Firefox 34; è probabile che altri sviluppatori di browser attiveranno update con impostazioni specifiche.

Forse a volte è più gentile di dire addio piuttosto che continuare a sostenere tecnologie superate.

Così è, con tantai bei ricordi e molte grazie per il suo eccellente lavoro per il decennio e mezzo trascorso che dobbiamo dire addio a SSL 3.0, perché ha quel di BARBONCINO che morde!

I commenti sono chiusi.

Ultime News

Addio Whois

Il protocollo Whois, che, grazie a un apposito database consente di individuare il titolare di un dominio o un indirizzo IP, i dati relativi al registrar e la data di scadenza del …

Top