Web'de şifrelenmiş güvenli veri iletişimi sağlayan SSL'in o kadar da güvenli olmadığı ortaya çıktı. Google'ın online güvenlik blogunda yayınladığı uyarıyla açığa çıkan güvenlik zaafı, SSL 3.0 protokolüyle sağlanan "güvenli" bağlantıların saldırılara açık hale getiriyor.
Geçtiğimiz Eylül ayında güvenlik açığını keşfeden Google araştırmacıları, bu açığı kötüye kullanan saldırılara POODLE (Padding Oracle On Downgraded Legacy Encryption) adını vermişlerdi. (Poodle kelime anlamı fino köpeği). Tipik bir saldırıda, kullanıcılar bağlanmaya çalıştıkları sunucunun TLS (Transport Layer Security) protokolünü desteklemediği görüyor ve SSL 3.0 ile bağlanmaya zorlanıyor. Böylelikle saldırganlar bu açıktan faydalanarak, şifre, cookie gibi bilgileri ele geçirebiliyor.
Yaklaşık 15 yıldır kullanılan SSL 3.0 web'de yaygın olarak kullanılıyor. Mozilla ve University of Michigan'ın araştırmasına göre, Alexa'nın en popüler bir milyon domaininin yaklaşık yüzde 0,42'si SSL 3.0 ile bir şekilde bağlı. Bundan daha da önemli sorunsa, SSL 3.0'ın tüm internet tarayıcıları tarafından desteklenmesi. Peki ne yapılmalı?
Google'ın açıklamasına SSL 3.0'ın sunucu ve müşteriler tarafında devre dışı bırakılması tavsiye ediliyor ancak bunun ciddi uyum sorunları yaratma olasılığı olduğu belirtiliyor. Son kullanıcılarınsa internet tarayıcılarındaki SSL 3.0 desteğini kaldırması tavsiye ediliyor. Bir diğer alternatifse, downgrade attack olarak bilinen bu tip saldırıları önleyen TLS_FALLBACK_SCSV desteği kullanmak.
Google, sunucularının ve kendi internet tarayıcısı Chrome'un geçtiğimiz Şubat ayından bu yana TLS_FALLBACK_SCSV desteği olduğunu söylüyor. Ancak bugünden itibaren Google gerekli değişiklikleri yapmaya başlayacak ve bütün ürünlerinden SSL 3.0 desteğini çekecek. Bu internette bazı sitelerle bağlantının kesileceği anlamına da geliyor. Bu sitelerin bir an önce güncellenmesi gerekiyor.
Konuyla ilgili bir diğer açıklama da Mozilla'dan geldi. İnternet tarayıcısı Firefox'un yeni versiyonu Firefox 34'te SSL 3.0'ın tamamen iptal edeceğini belirten Mozilla, bu versiyonu 24 Kasım'da piyasaya sunacak. Mozilla Firefox kullanıcıları ne yapmaları gerektiğini buradan, Chrome ve Internet Explorer kullanıcıları da buradan okuyabilirsiniz. Firefox'ta SSL versiyon kontrolü sağlayan add-on'lar içinse buraya gitmeniz gerekiyor.
Konuyla ilgili gelişmeleri aktarmaya devam edeceğiz.