Chrome 40 não vai suportar SSL 3.0

A versão anterior do browser também deixa de usar o protocolo, na ausência de suporte para ligações TLS.

chromeA Google tenciona remover o suporte à versão 3.0 do protocolo de segurança Secure Sockets Layer (SSL) no browser Chrome 40, cujo lançamento está previsto para daqui a cerca de dois meses.

A decisão surge após investigadores de segurança da empresa terem recentemente descoberto uma falha perigosa no desenho do SSL 3.0, então denominada de “POODLE“.

Esta vulnerabilidade permite a um atacante, numa operação de intercepção de comunicações (“man-in-the-middle”), recuperar informações em texto simples, como cookies de autenticação, a partir de uma ligação HTTPS cifrada com o SSLv3.

É a falha de segurança mais grave encontrada no protocolo, até agora, mas não é a única. A tecnologia foi concebida em meados dos anos 1990 e suporta suítes desactualizadas de codificação, agora consideradas inseguras do ponto de vista de criptografia.

As ligações HTTPS usam actualmente as versões 1.0, 1.1 ou 1.2 do TLS (Transport Layer Security). No entanto, muitos browsers e servidores têm mantido o suporte ao SSL 3.0 durante os últimos anos: para os browsers suportarem ligações seguras com servidores antigos e os servidores para suportarem conexões seguras com os browsers antigos.

Esta situação gerada pela compatibilidade é aquela em que os especialistas em segurança há muito tempo querem ver mudanças e, graças ao POODLE, isso vai finalmente acontecer. O impacto da falha é significativamente amplificado pelo facto de que os atacantes que podem interceptar ligações HTTPS podem forçar um “downgrade” do TLS para o SSL 3.0.

O Chrome 39, actualmente em versão beta, será lançado dentro de várias semanas e também não vai suportar o mecanismo de retorno SSL 3.0, impedindo aos atacantes deteriorarem ligações TLS.




Deixe um comentário

O seu email não será publicado