SSL 3.0 va in pensione

SSL 3.0 va in pensione

La settimana nera per la sicurezza informatica continua con POODLE (Padding Oracle On Downgraded Legacy Encryption), un bug svelato dai ricercatori di Google che affligge il protocollo SSL 3.0. Un protocollo antico, in termini tecnologici, ma ancora largamente supportato da browser e software di rete per ragioni di mera retro-compatibilità.

SSL 3.0 è "un protocollo obsoleto e insicuro", esordiscono i tre "Google man" nella loro ricerca, che risulta ampiamente superato dalle tecnologie crittografiche per le connessioni sicure più recenti come TLS 1.0, TLS 1.1 e TLS 1.2. Ma anche le più recenti implementazioni di TLS risultano retrocompatibili con SSL 3.0, spiega la ricerca, e il meccanismo di handshake tra client e server fa si che la negoziazione per il protocollo da usare possa andare (letteralmente) all'indietro fino ad adottare il protocollo incriminato.

Sfruttando l'attacco già noto alle cronache informatiche come BEAST, un malintenzionato potrebbe quindi costringere il browser dell'utente a fare uso di SSL 3.0 e arrivare a intercettare, in chiaro, tutte le comunicazioni e i dati scambiati tra client e server a discapito dell'utilizzo di una connessione sicura su HTTPS.

 

POODLE (letteralmente "barboncino", in italiano) prende di mira gli stessi problemi nel protocollo SSL coinvolti nel "cataclisma" di (in)sicurezza noto come Heartbleed, anche se i rischi dovrebbero essere minori e sembrano comunque destinati a sparire del tutto in tempi relativamente rapidi.