Firmy rezygnują z SSL 3.0 w obawie przed „Pudlem”

Serwisy internetowe przez lata stosowały na swoich witrynach certyfikat SSL 3.0. Tymczasem w narzędziu wykryto błąd, który umożliwił atak „Pudla”. Co zrobić by zabezpieczyć się przed możliwym atakiem, grożącym utratą danych logowania i informacjom o internetowych płatnościach?

Firmy rezygnują z SSL 3.0 w obawie przed „Pudlem”
Anna Stępniewska 30 stycznia 2015

Serwisy internetowe przez lata stosowały na swoich witrynach certyfikat SSL 3.0. Tymczasem w narzędziu wykryto błąd, który umożliwił atak „Pudla”. Co zrobić by zabezpieczyć się przed możliwym atakiem, grożącym utratą danych logowania i informacjom o internetowych płatnościach?

Certyfikaty takie jak SSL 3.0 czy TLS 1.2 to zewnętrzne narzędzia chroniące witryny internetowe przed atakami. Niestety w powszechnie stosowanym na stronach certyfikacie SSL 3.0 jakiś czas temu wykryło błąd. Problem ujawniła firma Google po tym jak doszło do ataku sieciowego na protokół SSL 3.0. Atak nazwano POODLE (Pudel) – Paddling Oracle On Downgraded Legacy Encryption. Na stronie internetowej Rządowego Zespołu Reagowania na Incydenty Komputerowe znajdziemy informacje, że atak „Pudla” grozi odszyfrowaniem danych przekazywanych za pomocą połączenia SSL 3.0. np. danych dotyczących logowania do serwisu internetowego czy informacji o dokonywanych płatnościach w e-sklepach.

Pudel nadal groźny

Wiele serwisów internetowych już używa bezpieczniejszego protokołu TLS. Niestety, w przypadku przeglądarek internetowych i serwerów w momencie, gdy pojawi się problem z wynegocjowaniem sesji TLS, system często przekierowuje użytkownika do skorzystania z protokołu SSL 3.0, co naraża użytkownika na atak „Pudla”. Dlatego specjaliści zalecają wszystkim użytkownikom rynku internetowego wyłączenie obsługi protokołu SSL 3.0. Przeglądarki internetowe przestają wspierać stosowanie SSL 3.0., pozostali powinni pójść w ich ślady.

Kwestia bezpieczeństwa danych i transakcji dokonywanych przez internet jest kluczową kwestią dla e-sklepów. Każdy serwis internetowy w trosce o bezpieczeństwo korzystania z usług na swojej witrynie, musi jak najszybciej wprowadzić nowy, bezpieczny protokół TLS 1.2. Właściciele sklepów internetowych powinni skontaktować się z dostawcami oprogramowania w celu potwierdzenia wyłączenia protokołu i zastąpienia go bezpieczniejszym. W sklepach internetowych bazujących na własnym oprogramowaniu zamianą protokołu SSL 3.0 na TLS 1.2 powinien zająć się dział IT. Im szybciej dokonamy zamiany, tym lepiej.

Czy ten artykuł był przydatny?

Tagi:
Udostępnij: