Google’ın Chrome SSLv3 tarihe karışacak

Google’ın Chrome  SSLv3 tarihe karışacak

İnternetin kabusu haline gelen açığa Google’ın nasıl karşılık vereceği iyice belli oldu!

SSL 3.0’da ortaya çıkan, şifreli HTTPS bağlantılarında saldırganların araya girip oturum açma bilgilerini çalabilmesine olanak tanıyan “Poodle” açığının ardından Google, iki ay sonra yayınlayacağı Chrome 40’ta SSL 3.0 protkolüne verdiği desteği kaldırabileceğini duyurdu. Poodle, SSL 3.0’da şimdiye kadar çıkan en önemli güvenlik sorunu, ancak protokolün başka zayıf yönleri de var. 1990’ların ortalarında geliştirilen SSL 3.0, şifreleme açısından zayıf kabul edilen işlevlere sahip. Bugünkü HTTPS bağlantılarının çoğu, TLS 1.0, 1.1 ve 1.2’yi kullanıyor ancak çoğu web tarayıcısı, eski sunuculara destek sağlayabilmek için SSL 3.0 desteğini de koruyor. Saldırıların web tarayıcısını TLS’den geri adım atarak SSL 3.0’ı kullanmaya zorlayabilmesi, açığın ciddiyetini önemli ölçüde artırmıştı. Ekim’de SSL Pulse’un yaptığı bir araştırmaya göre en popüler 150 bin HTTPS destekli web sitesinin yüzde 98’i, bir veya daha fazla TLS sürümünü desteklemesinin yanında, SSLv3’ü de destekliyor. Bu yüzden binlerce web sunucusunun SSL 3.0 desteğini kaldırmasını beklemektense, web tarayıcılarının bu desteği kaldırması daha kolay görünüyor. Google, Poodle açığının ortaya çıkmasıyla birlikte SSL 3.0 desteğini tamamen kaldırma planlarını açıklamıştı. 

CHROME 40
Google’dan güvenlik mühendisi Adam Langley, Chromium güvenlik eposta listesinde Perşembe günü yaptığı bir açıklamayla bu planlara ışık tuttu. Langley’e göre şu an beta aşamasında bulunan Chrome 39, SSL 3.0’a geri dönüş mekanizmasını desteklemeyecek. Google, Chrome 40’taysa SSLv3 desteğini tamamen kaldırmayı planlıyor - ancak firma oluşabilecek uyumluluk sorunlarını da yakından inceliyor. Langley, bu nedenle Chrome 39’un SSLv3 sitelerinde sarı bir işaret göstereceğini, bu sitelerin Chrome 40 çıkmadan önce en az TLS 1.0’a yükseltmelerinin gerekeceğini söylüyor.