谷歌计划在即将到来的Chrome版本中禁用SSL 3.0支持-观焦点

(相关资料图)

10月14日，谷歌研究人员首次公开披露了SSL 3.0协议中一个名为“POODLE”的漏洞。尽管谷歌为服务器提供了补丁来帮助降低风险，但对于浏览器供应商来说，解决该漏洞的最佳长期解决方案之一是放弃对SSL 3.0的支持，这正是谷歌承诺为其Chrome浏览器提供的。

POODLE(或用降级的传统加密填充Oracle)漏洞可能允许攻击者访问和读取加密的通信。尽管许多浏览器和服务器供应商仍然支持SSL 3.0作为后备机制，但SSL 3.0这一旧协议已经被TLS 1.2所取代。

在邮件列表中，谷歌开发人员亚当兰利写道，即将推出的稳定版本Chrome 39将禁用SSL 3.0回退。

兰利写道：“只需要SSLv3备份来支持错误的HTTPS服务器。”只有正确支持SSLv3的服务器才能继续工作(当前)，但一些故障服务器可能会停止工作

如果用户访问的服务器或在线应用由于SSL 3.0备份删除功能而无法正常运行，Chrome浏览器中的锁定图标上方会显示一个黄色标志。通过禁用备份和显示黄色警告标志，谷歌为网站所有者提供了在完全放弃SSL 3.0之前更新网站的机会。目前的计划是Chrome 40完全禁用SSL 3.0支持。

谷歌并不是唯一采取措施限制POODLE风险的浏览器供应商。即将发布的Mozilla Firefox 34版本也将取消对SSL 3.0的支持。

然而，微软对其Internet Explorer浏览器采取了略有不同的策略。现在，微软提供了一个“修复”工具来禁用对SSL 3.0的支持。当10月14日第一次报道小狗时，微软写了一份咨询报告，称“考虑到攻击，该漏洞不被认为是高风险客户。”

苹果也采取措施限制用户使用POODLE。在Mac OS X操作系统中，苹果并没有完全屏蔽SSL 3.0，而是通过安全套接字层(SSL)禁用了CBC或密码屏蔽链接，这是POODLE漏洞的根本原因。

虽然POODLE漏洞在两周前被披露，但到目前为止，还没有公开报道过由于该漏洞导致的利用。相反，10月15日开源Drupal内容管理系统中报告的一个SQL注入漏洞在7小时内被攻击者利用。POODLE没有被积极利用的事实可能是由于很多因素，包括SSL 3.0的利用率非常低。当Mozilla第一次宣传POODLE时，它指出SSL 3.0只占所有HTTPS连接的0.3%。