İnternetin kabusu haline gelen açığa Google'ın nasıl karşılık vereceği iyice belli oldu!


Bu forumdaki linkleri ve resimleri görebilmek için en az 25 mesajınız olması gerekir.


SSL 3.0'da ortaya çıkan, şifreli HTTPS bağlantılarında saldırganların araya girip oturum açma bilgilerini çalabilmesine olanak tanıyan "Poodle" açığının ardından Google, iki ay sonra yayınlayacağı Chrome 40'ta SSL 3.0 protkolüne verdiği desteği kaldırabileceğini duyurdu.

Poodle, SSL 3.0'da şimdiye kadar çıkan en önemli güvenlik sorunu, ancak protokolün başka zayıf yönleri de var. 1990'ların ortalarında geliştirilen SSL 3.0, şifreleme açısından zayıf kabul edilen işlevlere sahip. Bugünkü HTTPS bağlantılarının çoğu, TLS 1.0, 1.1 ve 1.2'yi kullanıyor ancak çoğu web tarayıcısı, eski sunuculara destek sağlayabilmek için SSL 3.0 desteğini de koruyor.

Saldırıların web tarayıcısını TLS'den geri adım atarak SSL 3.0'ı kullanmaya zorlayabilmesi, açığın ciddiyetini önemli ölçüde artırmıştı. Ekim'de SSL Pulse'un yaptığı bir araştırmaya göre en popüler 150 bin HTTPS destekli web sitesinin yüzde 98'i, bir veya daha fazla TLS sürümünü desteklemesinin yanında, SSLv3'ü de destekliyor. Bu yüzden binlerce web sunucusunun SSL 3.0 desteğini kaldırmasını beklemektense, web tarayıcılarının bu desteği kaldırması daha kolay görünüyor.

Google, Poodle açığının ortaya çıkmasıyla birlikte SSL 3.0 desteğini tamamen kaldırma planlarını açıklamıştı. Google'dan güvenlik mühendisi Adam Langley, Chromium güvenlik eposta listesinde Perşembe günü yaptığı bir açıklamayla bu planlara ışık tuttu. Langley'e göre şu an beta aşamasında bulunan Chrome 39, SSL 3.0'a geri dönüş mekanizmasını desteklemeyecek. Google, Chrome 40'taysa SSLv3 desteğini tamamen kaldırmayı planlıyor - ancak firma oluşabilecek uyumluluk sorunlarını da yakından inceliyor. Langley, bu nedenle Chrome 39'un SSLv3 sitelerinde sarı bir işaret göstereceğini, bu sitelerin Chrome 40 çıkmadan önce en az TLS 1.0'a yükseltmelerinin gerekeceğini söylüyor.

Diğer web tarayıcıları da Poodle için Google'ınkine benzer önlemler almışlardı. SSLv3'ü tamamen kapatmayı planlayan Chrome 40'ın ise Aralık sonunda yayınlanması bekleniyor.