SSL 3.0 está muerto! Asegure su navegador contra el ataque de poodle

Usando una vulnerabilidad en el SSL 3.0, los atacantes pueden inyectar código malicioso en su computadora y ponerlo en peligro. También pueden comprometer los servidores de alojamiento web con el mismo SSL 3.0. La mayoría de los navegadores siguen siendo compatibles con SSL3, ya que la mayoría de los servidores web todavía utilizan SSL 3.0 para la comunicación, como el inicio de sesión, el llenado de formularios de cualquier tipo, etc..

Ataque de seguridad Poodle

Secure Sockets Layer o SSL es un protocolo criptográfico diseñado para proporcionar seguridad de comunicación a través de Internet. Ahora es superado por Seguridad de la capa de transporte o TLS.

los Ataque de caniche permite que un delincuente web intercepte datos que se envían a través de la conexión SSL3. No solo puede él o ella interceptar los datos, el delincuente web puede inyectar sus propios datos en la conexión, haciendo que el sitio web crea que proviene del navegador. Asimismo, hace que el navegador crea que los datos maliciosos provienen del servidor web..

POODLE es la abreviatura de Relleno de Oracle en el cifrado heredado degradado. Es un defecto de protocolo y no está relacionado con la implementación. Esto significa que, independientemente de cómo SSL3 sea implementado por los navegadores o hosts, la falla estará allí para que los atacantes la exploten. El único método para evitar ser pirateado es deshabilitar SSL3.0 en sus navegadores y en sus servidores de alojamiento web.

Puede probar la vulnerabilidad de su navegador visitando este sitio web utilizando el navegador que desea verificar: ssllabs.com.

Deshabilitar SSL 3.0

Para protegerse contra los ataques de seguridad de Poodle, es posible que desee desactivar o bloquear SSL 3.0 en su navegador web.

explorador de Internet : Abra el cuadro de diálogo Opciones de Internet desde el Panel de control y vaya a la pestaña de opciones avanzadas. Marque para Usar SSL 3.0 y desmarque.

Microsoft ha lanzado un Fix It que permite a los usuarios desactivar SSL 3.0 en Internet Explorer. Microsoft también ha anunciado que SSL 3.0 se desactivará en la configuración predeterminada de Internet Explorer y en todos los servicios en línea de Microsoft en los próximos meses, y recomienda que los clientes migren clientes y servicios a protocolos de seguridad más seguros, como TLS 1.0, TLS 1.1 o TLS. 1.2.

Firefox : Para obtener la opción de deshabilitar SSL3, escriba "about: config" en la barra de direcciones. Buscar seguridad.tls.version.min en los resultados o usa la barra de búsqueda para buscarlo. Haga doble clic en la fila y cambie el valor de 0 a 1. Esto forzará a Firefox a usar solo TLS1.0 y superior deshabilitando SSL3.0.

Firefox ya ha dicho que deshabilitará SSL 3.0 en su próxima versión, al igual que deshabilitaron Java 6 cuando se encontró que este último era altamente vulnerable..

Google Chrome: No se ve en la configuración. Uno tiene que agregar un parámetro al acceso directo de Chrome para deshabilitar SSL3 y forzar solo TLS. Haga clic derecho en su acceso directo y seleccione Propiedades. En el campo etiquetado Destino, anexar -ssl-version-min = tls1. Entonces tu camino debería aparecer como:

"C: \ Archivos de programa (x86) \ Google \ Chrome \ Application \ chrome.exe" --ssl-version-min = tls1

Incluso Google ha dicho que, en los próximos meses, espera eliminar completamente el soporte para SSL 3.0 de todos los productos de sus clientes.

Propietarios del sitio o anfitriones: Como propietario de un sitio web o host web, debe considerar la posibilidad de desactivar SSL 3 en sus servidores lo antes posible.