Cómo desactivar SSL3: Poodle amenaza la red

Cómo desactivar SSL3: Poodle amenaza la red


Juanmi Taboada
Juanmi Taboada
Cómo desactivar SSL3: Poodle amenaza la red

Poodle se convierte en una amenaza para la red, se recomienda desactivar SSL3 del navegador.

Hace tan sólo 2 días Google reveló una nueva vulnerabilidad que afecta a la mayoría de las comunicaciones en Internet y que a pesar de tener un bonito nombre oculta efectos potencialmente desastrosos. POODLE (Padding Oracle On Downgraded Legacy Encryption) permite a un atacante romper la seguridad de SSL 3.0 (protocolo usado mundialmente para comunicaciones seguras pero que tiene más de 14 años). Este protocolo aún se utiliza como método de conexión en muchas conexiones seguras (incluídas bancos) cuando los protocolos más nuevos no parecen negociar bien la conexión, en tal caso los navegadores cambian a SSL 3.0 (también conocido como SSLv3). Debido a este bug un atacante puede provocar errores en la conexión con nuevos protocolos a fin de que el navegador cambie a SSL 3.0  y por lo tanto comenzarían a usar este viejo protocolo y ahora demostrado que es completamente ineficaz. Los investigadores concluyen que “para lograr un cifrado seguro, SSL 3.0 debe evitarse por completo.”

Al igual que con Heartbleed y Shellshock, hay millones de usuarios finales que no pueden hacer nada al respecto. No obstante las compañías de todo el mundo están luchando para publicar parches para sus servidores y dispositivos embebidos para que estos no usen bajo ningún concepto el protocolo SSL 3.0. Google descubrió la vulnerabilidad hace un mes (en septiembre), y, como se hace comúnmente con tales cuestiones generalizadas, primero se alertó a los desarrolladores de software y hardware previa publicación al resto del mundo.

Si bien la mayoría de navegadores actuales están preparados para usar TLS y es el protocolo preferido por defecto, desde Centrologic os recomendamos preventivamente deshabilitar SSL3 del navegador y también activar TLS_FALLBACK_SCSV lo que mitigaría la parte del downgrade.

Para más información sobre cómo desabilitar SSL3:

Fuente: NBC News

Comments

Related Articles

Sistemas

Learn how to Build an Engine Controller for your Alioli Submarine UAV Drone

In my last post, “Alioli ROV Boards“, I described most of the hardware I use to build Alioli ROV and how I plan to use it. In this post, I show how the UAV submarine...

Posted on by Juanmi Taboada
Sistemas

Google Calendar se rediseña con Material Design, el resultado es espectacular

Tal y como Google anunciaba en su blog oficial, aquellos usuarios que accedan al calendario desde la web comenzarán a ver un nuevo diseño mucho más limpio basado en el estándar de...

Posted on by Juanmi Taboada