http://googleonlinesecurity.blogspot.com/2014/10/this-poodle-bites-exploiting-ssl-30.html
渗透SSL3.0后门
今天我们公布了SSL3.0设计中的一个漏洞细节.
网络黑客利用该漏洞可以推测安全链接的明文.
我与Thai Duong 和 Krzysztof Kotowicz(也是Google雇员)共同发现了该漏洞.
SSL 3.0已经发布将近15年了,但是对它的支持仍广泛存在.
非常重要的是,几乎所有的浏览器都支持它,为了在HTTPS服务器上解决这个bugs,浏览器将用包含SSL3.0的旧协议重试失败的连接.
因为网络黑客也可以引起链接的失败,所以他们触发SSL3.0起作用,然后渗透该漏洞.
禁用SSL3.0的支持,或者带SSL3.0的CBC模式的密码,都能够减缓该问题的发生,但是直到今天仍会出现大量的兼容性问题.
我们推荐的解决方案是支持 TLS_FALLBACK_SCSV.
这个机制解决了重试失败链接的问题,进而阻止黑客诱发SSL3.0的使用.
它也阻止了TLS 1.2到1.1或者1.0安全级别的下降,而且有助于阻止进一步的攻击.
自从一月份,Google Chrome 和我们的服务器都支持 TLS_FALLBACK_SCSV,而且我们有有利的证据表明它能被正常的使用,而无需担心兼容性问题.
此外,Google Chrome从今天将开始测试禁用SSL3.0的这种变化.
这种改变将终止某些站点,这些站点需要快速的升级.
在接下来的几个月里,我们希望从我们的客户端里完全移除对SSL 3.0的支持.
非常希望你广而告之,这将有助于大众对此问题进行讨论.