Microsoft komt met oplossing voor Poodle
Microsoft heeft een zogenaamde fix-it uitgebracht voor de Poodle-bug. De fix-it past het register van de pc aan zodat deze beschermd is.
Poodle is de naam van een kwetsbaarheid in SSL versie 3.0, die gevonden werd door een onderzoeker bij Google. SSL is al grotendeels overbodig gemaakt door het nieuwere TLS 1.2, maar sommige systemen schakelen nog over naar het oudere SSL als de server TLS niet ondersteunt.
[related_article id=”161452″]
Poodle is een ontwerpfout in SSL/TLS, er bestaat geen echte patch voor de bug. Het komt er dus eigenlijk op aan om het oude SSL-protocol af te sluiten. Het aantal servers dat nog gebruikmaakt van SSL zou vrij klein zijn, maar deze kunnen wel problemen gaan ondervinden als clientsystemen geen SSL 3.0 meer ondersteunen.
Met de hand
Het was al perfect mogelijk om SSL v3.0-ondersteuning in Internet Explorer met de hand uit te schakelen. Daarvoor moet je de optie Gebruik SSL 3.0 uitvinken in de software. Die staat onder de Geavanceerd-tab in Tools –> Internet Opties.
Voor bedrijfs-pc’s die in groep beheerd worden, is de oplossing beschikbaar onder Computer Configuration -> Administrative Templates -> Windows Components -> Internet Explorer -> Internet Control Panel -> Advanced Page -> Turn off encryption support.
Dood aan SSL 3.0
Google heeft al aangegeven dat het SSL 3.0-ondersteuning over de komende maanden uit al zijn producten zal verwijderen. Ook de nieuwe versie van Firefox (gepland voor 25 november) kan niet meer met SSL overweg. Ondertussen heeft ook Mozilla een tool gemaakt om nu al deze feature uit te schakelen.