Причиной отказа стала критическая уязвимость POODLE, которой подвержен любой сайт, допускающий установку соединений с использованием SSL 3.0.
Компания Google объявила о введении запрета на откат до SSL 3.0 в браузере Chrome 39 и о полном удалении поддержки этой версии протокола SSL из браузера Chrome 40. Причиной этого решения стала обнаруженная ранее критическая уязвимость в SSL 3.0.
Mozilla выступила одновременно с Google, заявив об отключении поддержки SSL 3.0 по умолчанию начиная с выпуска Firefox 34, который намечен на 25 ноября. Решение Google не является неожиданным: руководитель службы безопасности компании Бодо Меллер (Bodo Möller) предупреждал о том, что SSL 3.0 будет удален из всех клиентских продуктов в ближайшие месяцы.
В связи с предстоящими изменениями Google обращает внимание администраторов сайтов на следующие обстоятельства:
- SSL 3.0 нужен только для того, чтобы обходить ошибки в HTTPS-серверах. Серверы, которые поддерживают протокол SSL 3.0, пока продолжат работу. У остальных серверов могут возникнуть проблемы в работе. Это означает, что проблема в сервере – протокол TLS 1.0 был выпущен почти пятнадцать лет назад.
- откат уже запрещен в новых нестабильных версиях Chrome (Canary, Beta и Dev). Компания не успевает перевести уведомления о каждой ошибке на все языки, которые поддерживает браузер, поэтому в случае ошибки севера на дисплеи будет выведено обобщенное уведомление, а код ошибки ERR_SSL_FALLBACK_BEYOND_MINIMUM_VERSION можно увидеть, нажав кнопку «Подробнее».
- Google также планирует полностью отключить SSL 3.0 в Chrome 40, хотя и понимает, что это создаст проблемы совместимости. Пока что в адресной строке Chrome 39 желтым замком будут обозначаться сайты, поддерживающие SSL 3.0, которым до появления Chrome 40 необходимо понизить применяемую версию TSL до 1.0 (разработчики могут протестировать свои сайты, использовав в качестве ключа запуска –ssl-version-min=tls1).
- Корпоративные пользователи для контроля минимальной версии отката и минимальной версии SSL/TLS в Chrome 39 могут использовать альтернативные версии SSLVersionMin и SSLVersionFallbackMin, а в Chrome 40 – при помощи адресной строки about:flags.
После того как Google полностью удалит поддержку SSL 3.0 из браузера Chrome, все приведенные рекомендации станут недействительными.
Узнайте как на нашем канале