محققان گوگل اخیرا در مورد پیدایش یک مشکل جدید در پروتکل SSL 3.0 خبر دادهاند که به هکرها اجازه میدهد دادههای رمزشده را رمزگشایی کنند. این کدهای مخرب (اکسپلویت) جهت ردیابی دادههای مهم و حیاتی که بین سرور و کلاینت رمزگذاری شدهاند مورد استفاده قرار میگیرند.
کدهای مخرب ابتدا به مهاجمین اجازه میدهد فرآیندی به نام «downgrade dance» را آغاز کنند که به کلاینت (سرویس گیرنده) فرمان میدهد به پروتکل SSL 3.0 وصل شود چون سرور، پروتکل TLS را ساپورت نمیکند. سپس از آنجا حملهای از نوع man-in-the-middle کوکیهای امن ddle میتواند کوکیهای امن HTTP را رمزگشایی کند. گوگل اسم این حملات و آسیب پذیری را به عنوان POODLE ( مخفف Padding Oracle On Downgraded Legacy Encryption) معرفی کرده است.
به عبارت دیگر اطلاعات شما دیگر رمز شده نیست. سادهترین راه حلی که تعدادی از محققان گوگل توصیه کردهاند غیر فعال کردن پروتکل SSL 3.0 بر روی سرور و کلاینت میباشد. سرور و کلاینت به طور پیشفرض پروتکل امنتر TSL را انتخاب میکنند و نفوذ کدهای مخرب را غیرممکن میسازند.
بنابراین اگر مرورگرکاربران نهایی از پروتکل SSL 3.0 پشتیبانی میکند باید آن را غیر فعال کنند یا بهتر است از ابزاری استفاده کنند که TLS_FALLBACK_SCSV را ساپورت میکند. این راه حل از حملات downgrade جلوگیری میکند. گوگل به زودی تغییراتی در کروم ایجاد خواهد کرد که در آن پروتکل SSL 3.0 غیرفعال شده و هیچکدام از محصولاتش دیگر این پروتکل را ساپورت نمیکنند. در حال حاضر یک پچ کرومیوم موجود است که میتواند پروتکل SSL 3.0 را غیر فعال می کند.
کمپانی موزیلا نیز در واکنش به اخبار اخیر قصد دارد این پروتکل را در مرورگر فایرفاکس خاموش کند و در یکی از پستهایش عنوان کرده: «پروتکل SSL v3 به طور پیشفرض از فایرفاکس ورژن ۳۴ که در ۲۵ نوامبر به بازار اینترنت خواهد آمد غیرفعال میشود». کد غیرفعالسازی این پروتکل امشب توسط Nighty در دسترس خواهد بود.
هرکس مایل است پروتکل SSL 3.0 را همین الان غیرفعال کند میتواند با افزودن SSL Version Control به فایرفاکس این کار را انجام دهد.
پروتکل SSL3.0 در سال ۱۹۹۶ معرفی شد تا برقراری ارتباط را بدون ترس از استرلق سمع امکانپذیر کند چون اطلاعاتی که به اشتراک گذاشته میشود رمزگذاری شده است. وقتی یک کلاینت (مثل مرورگر، اپلیکیشن و غیره) به سرور پینگ میشود درگیر یک handshake امنیتی میشود که کلیدهایی را جهت رمزگذاری و رمزگشایی اطلاعاتی که رد و بدل میشود ایجاد میکند.