Desabilitando suporte a SSLv3

em Segurança, Tecnologia.

lock2

Durante essa semana a equipe da Locaweb acompanhou a divulgação de uma vulnerabilidade no protocolo de criptografia SSL (Secure Socket Layer).
Esse vulnerabilidade tem como alvo o protocolo SSLv3 e basicamente permite que o atacante comprometa o processo de criptografia de uma requisição, com objetivo de capturar o conteúdo em trânsito.

Por padrão, navegadores mais atuais irão utilizar protocolos de criptografia mais modernos, como por exemplo, TLSv1.2. Entretando é possível que um atacante simule algumas condições que levem o navegador a utilizar a versão SSLv3. Por esse motivo a Locaweb irá executar nos próximos dias a desativação do protocolo SSLv3 em todos os sistemas que suportam protocolos mais modernos.

Essa alteração pode gerar impacto em um grupo pequeno de navegadores antigos e desatualizados, resultando em um erro de conexão SSL (SSL connection error).

Acredita-se que os maiores impactados serão os usuários de Internet Explorer 6 rodando em Windows XP ou em versões mais antigas.

O Google publicou recentemente um documento técnico detalhando essa vulnerabilidade, apelidada de POODLE (PDF – https://www.openssl.org/~bodo/ssl-poodle.pdf)

Você também pode gostar