SSL 3.0曝嚴重漏洞:行業大佬集體封殺
責編:admin |2014-10-24 15:32:23本月早些時候,Google的一名研究人員發現了SSL 3.0中的一個安全漏洞,稱之為“POODLE”(Padding Oracle On Downgraded Legacy Encryption)。攻擊者可以向TSL發送虛假錯誤提示,然后將安全連接強行降級到古老的SSL 3.0,然后就可以利用其中的設計漏洞竊取敏感信息。
Google已經在自己的相關產品中陸續禁止回溯相容,強制使用TLS協議。Mozilla也會在計劃于11月25日發布的Firefox 34中徹底禁掉SSL 3.0。微軟同樣發出了安全通告。國內的不少網站也已經行動起來。
SSL最初是網景(Netscape)公司設計的Web安全傳輸協議,誕生于1999年,已經相當古老。IETF將其進行了標準化,并改名為TLS。從技術上講,TLS 1.0、SSL 3.0的差異其實非常微小,但前者更加安全。