O Google descobriu uma vulnerabilidade em uma versão mais antiga do SSL, protocolo cuja função é manter protegido o que fazemos na web. Isso não está causando níveis Heartbleed de pânico, mas é uma notícia desconcertante.

O blog de segurança da Google explica detalhes sobre o bug, que eles estão chamando de POODLE:



Hoje estamos publicando detalhes sobre uma vulnerabilidade no design do SSL versão 3.0. Ela permite que o plaintext [texto claro/aberto] de conexões seguras seja calculado por um hacker de rede.

Isso significa que hackers podem quebrar a criptografia de cookies HTTP “seguros”, revelando a atividade do usuário naquele determinado site.

Para isso acontecer, no entanto, é preciso que ele obrigue seu navegador a se conectar via SSL 3.0, que usa uma criptografia criada em 1987. Apesar de ser repleta de brechas, ela ainda é amplamente usada: a Microsoft disse no final de 2013 que 40% das conexões web ainda usavam essa criptografia.

No geral, os sites utilizam a tecnologia Transport Layer Security (TLS) para proteger seus dados, que não é afetada por essa falha. Mas vários sites continuam a ser compatíveis com SSL 3.0, para funcionarem em sistemas mais antigos.

E agora? O Google recomenda desativar esse fallback para o SSL 3.0 nos servidores e diz que, nos próximos meses, vai remover essa tecnologia do Chrome. A Mozilla, por sua vez, avisou que o SSL 3.0 será desativado por padrão no Firefox 34, a ser lançado no final de novembro.

O Chrome começa hoje, em fase de testes, a desativar automaticamente o suporte a SSL 3.0. Para fazer isso manualmente no Chrome, Firefox e Internet Explorer, siga as instruções abaixo (via ImperialViolet):

  • no Chrome para Windows, clique com o botão direito no atalho do navegador, clique em Propriedades, vá até a aba Atalho e, no fim do campo Destino, insira um espaço e depois --ssl-version-min=tls1 (para fazer o mesmo no OS X e Linux, siga estas instruções);
  • no Firefox, abra about:config, procure por “security.tls.version.min”, e mude esse valor de 0 para 1 – isso desativa o SSL 3.0 (a versão “zero” do TLS);
  • no IE, vá ao menu Ferramentas, clique em Opções da Internet e vá para a guia Avançadas. Desça até o grupo Segurança, e desmarque a caixa de seleção “SSL 3.0”.

Ao fazer isso, talvez você não consiga acessar alguns sites que dependem de criptografia mais antiga. A solução definitiva vai depender de inúmeros sites na web, o que pode ser complicado, como vimos no Heartbleed.

Este será mais um canto do cisne para o Internet Explorer 6: o navegador deve parar de funcionar com muitos sites, por não ter suporte a TLS. [Google Online Security Blog via ZDNetThe Next Web]

Imagem por Jeff Golden/Flickr