(Bilde: Shutterstock)

Mozilla og Google dropper krypteringsstandard

Kjipt sikkerhetshull får skylden.

De to nettlesergigantene Mozilla Firefox og Google Chrome står nå på trappene til å deaktivere krypteringsstandarden SSL 3.0. Grunnen er noen sikkerhetshull av det kjipe slaget, og i verste fall vil store mengder av nettsider ikke fungere tilfredsstillende før de blir oppgradert.

Sikkerhetshullet det er snakk om har fått navnet Poodle-angrep – Padding Oracle On DOwngraded Legacy Encryption – og gjør at angripere kan få med seg en god del informasjon som var antatt å ligge trygt lagret. Blant annet slikt som informasjonskapsler og passord. 

Bakoverkompatibilitet skaper krøll

Problemet er relatert til bakoverkompatibiliteten til dagens nettlesere. Selv om SSL 3.0-standarden er hele 18 år, er det fremdeles nettsider som baserer seg på teknologien. Bruker nettsiden din SSL 3.0 er den utsatt for Poodle-angrep.

For at brukerne skal få fullverdig tilgang til disse nettsidene har operatører som Mozilla og Google valgt å ha med støtte for SSL 3.0. Måten det fungerer på er at nettleserne først forsøker seg med en oppdatert krypteringsstandard, får de ikke kontakt med serveren vil de til slutt forsøke seg med SSL 3.0. Dette skal det nå bli en slutt på.

Blir deaktivert i første omgang

Google skriver i en bloggpost at angripere kan forhindre kommunikasjon på Internett, og dermed lure nettlesere til å tro at de må forsøke seg igjen med SSL 3.0 for å få kontakt. Dermed setter angriperen seg i en unik posisjon for å utnytte sikkerhetshullet.

Nettleseren Chrome vil få SSL 3.0 deaktivert som standard, og ifølge bloggposten søker Google å fjerne støtten for SSL 3.0 helt i fremtidige versjoner av nettleseren.

Mozilla melder i en bloggpost at SSL 3.0 vil være avskrudd som standard på Firefox 34 som kommer i slutten av november. Her blir det også uttalt at SSL 3.0 kun brukes på 0,3 prosent av HTTP-koblingene, men at det på grunn av antall koblinger som gjøres på Internett likevel er snakk om millioner av koblinger hver eneste dag.

Sjekk vår guide til nettlesere (Tek Ekstra)
Dette er den raskeste nettleseren »

(Kilder: Mozilla, Google, via Bit-tech)

Kommentarer (3)

Norges beste mobilabonnement

Desember 2016

Kåret av Tek-redaksjonen

Jeg bruker lite data:

ICE Mobil 1GB


Jeg bruker middels mye data:

Hello 5GB


Jeg bruker mye data:

Hello 10 GB


Jeg er superbruker:

Telia Smart Total


Finn billigste abonnement i vår mobilkalkulator

Forsiden akkurat nå

Til toppen