Descubierta una vulnerabilidad de SSL 3.0. Descubra cómo protegerse

Se ha descubierto una vulnerabilidad de seguridad en SSL 3.0 por Bodo Möller y otros dos empleados de Google que los atacantes pueden aprovechar para calcular el texto sin formato de las conexiones seguras.

SSL 3.0 es un protocolo antiguo y la mayoría de los servidores de Internet utilizan en su lugar los protocolos TLS 1.0, TLS 1.1 o TLS 1.2 más nuevos. El cliente y el servidor generalmente aceptan usar la última versión del protocolo durante las conexiones durante el protocolo de enlace, pero dado que TLS es compatible con SSL 3.0, puede suceder que se esté usando SSL 3.0 en su lugar.



Durante el primer intento de protocolo de enlace se ofrece la versión de protocolo compatible más alta, pero si este protocolo de enlace falla, se ofrecen versiones de protocolo anteriores.

Un atacante que controle la red entre el cliente y el servidor podría interferir con el intento de protocolo de enlace para que se utilice SSL 3.0 en lugar de TLS.

Los detalles sobre el ataque están disponibles en el aviso de seguridad 'This POODLE Bites: Exploiting The SSL 3.0 Fallback' que puede descargar con un haga clic en este enlace.

Protección contra el ataque

Dado que el atacante está utilizando SSL 3.0, deshabilitar SSL 3.0 bloqueará el ataque por completo. Sin embargo, existe un problema: si el servidor o el cliente solo admiten SSL 3.0 y no TLS, ya no es posible establecer una conexión.

Tu puedes correr Pruebas SSL en los nombres de dominio para averiguar qué versiones de SSL y TLS admiten.

ssl-test

Para proteger su navegador web, haga lo siguiente:



Cromo: Google Chrome y los navegadores basados ​​en Chromium no enumeran una preferencia que puede cambiar para editar las versiones de protocolo mínima y máxima que desea que utilice el navegador. Puede iniciar el navegador con el parámetro --ssl-versión-min = tls1 para hacer cumplir el uso de TLS1 o protocolos superiores únicamente.

chrome-ssl3.0

Firefox: Abra la página about: config y confirme que tendrá cuidado si es la primera vez que la abre. Buscar security.tls.version.min, haga doble clic en él y establezca su valor en 1. Esto hace que TLS 1.0 sea la versión de protocolo mínima requerida.



firefox security ssl 30

explorador de Internet: Abra las Opciones de Internet con un clic en el botón de menú y la selección de Opciones de Internet en el menú. Cambie a Avanzado allí y desplácese hacia abajo hasta que encuentre Usar SSL 2.0 y Usar SSL 3.0 en la lista (cerca de la parte inferior). Desmarque las dos opciones y haga clic en Aceptar para aplicar el cambio.



internet explorer ssl3.0

Mozilla eliminará SSL 3.0 en Firefox 34, la próxima versión estable del navegador web que se lanzará en seis semanas. Google también planea eliminar la compatibilidad con SSL 3.0 en Chrome en los próximos meses.



Ventanas: Si desea deshabilitar SSL 3.0 en Windows, puede hacerlo en el Registro de Windows.

  1. Toque Windows-r, escriba regedit y presione enter.
  2. Confirme el mensaje de UAC si aparece.
  3. Navegue hasta la clave: HKey_Local_Machine System CurrentControlSet Control SecurityProviders SCHANNEL Protocols SSL 3.0 Server
  4. Si la ruta no existe, créelo con un clic derecho en la última clave que existe y seleccione Nueva> Clave en el menú contextual.
  5. A continuación, haga clic con el botón derecho en Servidor y seleccione Nuevo> Dword (valor de 32 bits).
  6. Nómbrelo habilitado.
  7. Luego haga doble clic en él y configúrelo en 0.
  8. Navegue hasta la clave: HKey_Local_Machine System CurrentControlSet Control SecurityProviders SCHANNEL Protocols SSL 3.0 Client
  9. Si la ruta no existe, créela usando el método anterior.
  10. Haga clic con el botón derecho en Cliente y seleccione Nuevo> Dword (valor de 32 bits).
  11. Nómbrelo habilitado.
  12. Haz doble clic en él y cambia su valor a 0.
  13. Reinicie la PC.

Más información disponible en esta página de ayuda.