2014-10-31
Google為防止POODLE安全漏洞
Chrome 40將完全取代SSL 3.0通訊協定
文: Spike Lam / 新聞中心
文章索引: IT要聞 IT港聞 軟件

Google 31 日宣佈將會在下一版本 Chrome 40 中禁止降級使用 SSL 3.0 加密協助,雖然現時大部份網站已改用 TLS 加密協定,但有部份舊網站系統仍然使用 SSL 3.0 加密通訊, Google 議議網站系統放棄被發現漏洞的 SSL 3.0 通訊協定。

 

SSL 3.0 加密協定於 1996 年由 Netscape 當時的首席工程師 Dr. Taher Elgamal 所設計,並且成為當時網上最普及的網絡加密 API 機制,直至 1999 年由全新的 TLS 通訊協定續漸取代,但 SSL 3.0 仍然被普及使用,當 TLS 協定失敗系統會降級採用 SSL 3.0 協定進行通訊。

 

不過, Google 15 日發現 SSL 3.0 協議存在被稱為 Padding Oracle On Downgraded Legacy Encryption (POODLE) 的安全漏洞,令黑客能計算出加密的內容,由於現時大部份瀏覽器及網站系統均同時支援 SSL 3.0 及 TSL 協定,而且當 TSL 協定連接失敗,容許降級採用 SSL 3.0 將會成為重大的安全漏動,因此 Google 決定在下一版本的 Chrome 40 中完全取消 SSL 3.0 支援。

 

除了 Google Chrome 瀏覽器外, Mozilla 亦宣佈在下一版本 Firefox 34 當中預設禁止使用 SSL 3.0 通訊協定,不少網站現時亦已取消降級支援 SSL 3.0 通訊協定。

Hackers

分享到:
發表評論
本篇文章被 15524 人閱讀,共有 個評論