Google'ın Chrome 40'ta SSLv3'ü kaldırma planı

İnternetin kabusu haline gelen açığa Google'ın nasıl karşılık vereceği iyice belli oldu!

Google'ın Chrome 40'ta SSLv3'ü kaldırma planı
SSLv3, iki sürüm sonra tarihe karışacak

SSL 3.0'da ortaya çıkan, şifreli HTTPS bağlantılarında saldırganların araya girip oturum açma bilgilerini çalabilmesine olanak tanıyan "Poodle" açığının ardından Google, iki ay sonra yayınlayacağı Chrome 40'ta SSL 3.0 protkolüne verdiği desteği kaldırabileceğini duyurdu.

Poodle, SSL 3.0'da şimdiye kadar çıkan en önemli güvenlik sorunu, ancak protokolün başka zayıf yönleri de var. 1990'ların ortalarında geliştirilen SSL 3.0, şifreleme açısından zayıf kabul edilen işlevlere sahip. Bugünkü HTTPS bağlantılarının çoğu, TLS 1.0, 1.1 ve 1.2'yi kullanıyor ancak çoğu web tarayıcısı, eski sunuculara destek sağlayabilmek için SSL 3.0 desteğini de koruyor.

Saldırıların web tarayıcısını TLS'den geri adım atarak SSL 3.0'ı kullanmaya zorlayabilmesi, açığın ciddiyetini önemli ölçüde artırmıştı. Ekim'de SSL Pulse'un yaptığı bir araştırmaya göre en popüler 150 bin HTTPS destekli web sitesinin yüzde 98'i, bir veya daha fazla TLS sürümünü desteklemesinin yanında, SSLv3'ü de destekliyor. Bu yüzden binlerce web sunucusunun SSL 3.0 desteğini kaldırmasını beklemektense, web tarayıcılarının bu desteği kaldırması daha kolay görünüyor.

Google, Poodle açığının ortaya çıkmasıyla birlikte SSL 3.0 desteğini tamamen kaldırma planlarını açıklamıştı. Google'dan güvenlik mühendisi Adam Langley, Chromium güvenlik eposta listesinde Perşembe günü yaptığı bir açıklamayla bu planlara ışık tuttu. Langley'e göre şu an beta aşamasında bulunan Chrome 39, SSL 3.0'a geri dönüş mekanizmasını desteklemeyecek. Google, Chrome 40'taysa SSLv3 desteğini tamamen kaldırmayı planlıyor - ancak firma oluşabilecek uyumluluk sorunlarını da yakından inceliyor. Langley, bu nedenle Chrome 39'un SSLv3 sitelerinde sarı bir işaret göstereceğini, bu sitelerin Chrome 40 çıkmadan önce en az TLS 1.0'a yükseltmelerinin gerekeceğini söylüyor.

Diğer web tarayıcıları da Poodle için Google'ınkine benzer önlemler almışlardı. SSLv3'ü tamamen kapatmayı planlayan Chrome 40'ın ise Aralık sonunda yayınlanması bekleniyor.

Zeynel A. Öztürk

Okuyucu Yorumları

Toplam 3 Yorum

Basit bir yama ile kaldırsın ne diye 40 ı bekliyor?

@04 Kas 2014 15:49 çünkü kaldırırsın ama sitelerin %80 i açılmaz ne yapacaksın o zaman

@04 Kas 2014 15:49 O işi mozilla eklentiyle yaptı diyedir. Sırf aynı yöntemi kullanmamak için yapmaz :)

Sen de yorum yaz

 


CHIP'i Takip edin
E-Posta listemize katılın
CHIP Dergi Mobil Cihazınızda

İlginizi çekebilir