Google Chrome schakelt SSL 3.0 uit na Poodle-bug
Chrome 39, dat volgens de planning binnen zes weken moet uitkomen, is de eerste stap in Googles plan om alle SSL 3.0-ondersteuning te stoppen.
Eerder deze maand ontdekte een Google-medewerker een fout in SSL 3.0, de zogenaamde Poodle-bug (Padding Oracle On Downgraded Legacy Encryption). Hiermee kon je een man-in-the-middle-aanval uitvoeren en cookies stelen.
[related_article id=”158901″]
Hoewel SSL al lang overbodig is geworden door TSL (Transport Layer Security), wordt dat nieuwere protocol nog niet door alle servers ondersteund. Als de server TSL niet ondersteund, wordt er teruggevallen op het onveilige SSL. Om dat te vermijden, zal die mogelijkheid vanaf Chrome 39 dus niet meer ondersteund worden.
Foutmelding
“Het terugvallen op SSL dient alleen nog om https-servers die buggy zijn te ondersteunen”, zegt Adam Langley van Google. “Servers die enkel SSL 3.0 ondersteunen blijven voorlopig werken, de servers met fouten niet meer. Het antwoord op dat probleem: repareer de server, TLS 1.0 is ondertussen al bijna vijftien jaar oud.”
Doordat er te weinig tijd was om een specifieke foutmelding te vertalen, zal Chrome in eerste instantie een algemene foutmelding geven wanneer hij met een slechte server communiceert: een gele badge over het slotje in de adresbalk. Als je de details aanklikt, krijg je ERR_SSL_FALLBACK_BEYOND_MINIMUM_VERSION te zien.
Dat er geen gele badge staat, wil ook niet automatisch zeggen dat alles oké is. Sommige delen van de webpagina kunnen nog altijd zaken laten zien die via SSL worden binnengehaald. Ontwikkelaars kunnen hun sites daarvoor testen.
Trucjes en omwegen
Tegen de release van Chrome 40, over twaalf weken, wordt de ondersteuning van SSL v3 helemaal uitgeschakeld. Alle servers zouden tegen dan dus ten minste op TLS 1.0 moeten overgeschakeld zijn.
SSL 3.0-cliëntondersteuning zal in de loop der tijd uit de code gehaald worden, aldus Langley. Alle omwegen en trucjes om het te blijven ondersteunen (command line-opties of about:flags) mogen dus niet als een oplossing op lange termijn gezien worden.
Mozilla en Microsoft doen mee
Eerder deze week liet ook Mozilla weten dat ondersteuning voor SSL 3.0 in Firefox op zijn laatste benen liep. Microsoft heeft ook al een tool uitgebracht om de ondersteuning in Internet Explorer uit te schakelen.