Kerentanan SSL 3.0 ditemukan. Cari tahu bagaimana melindungi diri Anda sendiri
- Kategori: Keamanan
Kerentanan keamanan di SSL 3.0 telah ditemukan oleh Bodo Möller dan dua karyawan Google lainnya yang dapat dimanfaatkan oleh penyerang untuk menghitung teks biasa dari sambungan aman.
SSL 3.0 adalah protokol lama dan sebagian besar server Internet menggunakan protokol TLS 1.0, TLS 1.1 atau TLS 1.2 yang lebih baru. Klien dan server biasanya setuju untuk menggunakan versi protokol terbaru selama koneksi selama jabat tangan protokol tetapi karena TLS kompatibel dengan SSL 3.0, dapat terjadi bahwa SSL 3.0 yang digunakan sebagai gantinya.
Selama upaya jabat tangan pertama versi protokol yang didukung tertinggi ditawarkan tetapi jika jabat tangan ini gagal, versi protokol sebelumnya yang ditawarkan sebagai gantinya.
Penyerang yang mengontrol jaringan antara klien dan server dapat mengganggu upaya jabat tangan sehingga SSL 3.0 digunakan sebagai pengganti TLS.
Rincian tentang serangan tersebut tersedia di penasihat keamanan 'This POODLE Bites: Exploiting The SSL 3.0 Fallback' yang dapat Anda unduh dengan klik tautan ini .
Perlindungan terhadap serangan itu
Karena SSL 3.0 digunakan oleh penyerang, menonaktifkan SSL 3.0 akan memblokir serangan sepenuhnya. Namun ada satu masalah: jika server atau klien hanya mendukung SSL 3.0 dan bukan TLS, maka tidak mungkin lagi untuk membuat sambungan.
Kamu bisa lari Tes SSL pada nama domain untuk mengetahui versi SSL dan TLS mana yang mereka dukung.
Untuk melindungi browser web Anda, lakukan hal berikut:
Chrome : Peramban berbasis Google Chrome dan Chromium tidak mencantumkan preferensi yang dapat Anda ubah untuk mengedit versi protokol minimum dan maksimum yang Anda inginkan untuk digunakan peramban. Anda dapat meluncurkan browser dengan parameter --ssl-version-min = tls1 untuk menerapkan penggunaan protokol TLS1 atau yang lebih tinggi saja.
Firefox : Buka halaman about: config dan konfirmasi bahwa Anda akan berhati-hati jika ini pertama kali Anda membukanya. Pencarian untuk security.tls.version.min , klik dua kali dan setel nilainya ke 1. Hal ini membuat TLS 1.0 versi protokol minimum yang diperlukan.
Internet Explorer : Buka Opsi Internet dengan mengklik tombol menu dan pemilihan Opsi Internet dari menu. Beralih ke Lanjutan di sana dan gulir ke bawah hingga Anda menemukan Gunakan SSL 2.0 dan Gunakan SSL 3.0 terdaftar di sana (dekat bagian bawah). Hapus centang kedua opsi dan klik ok untuk menerapkan perubahan.
Mozilla akan menghapus SSL 3.0 di Firefox 34, versi stabil web browser berikutnya yang akan dirilis dalam enam minggu. Google juga berencana untuk menghapus dukungan SSL 3.0 di Chrome dalam beberapa bulan mendatang.
Windows: Jika Anda ingin menonaktifkan SSL 3.0 di Windows, Anda dapat melakukannya di Windows Registry.
- Ketuk Windows-r, ketik regedit dan tekan enter.
- Konfirmasikan permintaan UAC jika muncul.
- Arahkan ke kunci: HKey_Local_Machine System CurrentControlSet Control SecurityProviders SCHANNEL Protocols SSL 3.0 Server
- Jika jalur tidak ada, buat dengan klik kanan pada kunci terakhir yang ada dan pilih New> Key dari menu konteks.
- Klik kanan pada Server setelahnya dan pilih New> Dword (nilai 32-bit).
- Beri nama Diaktifkan.
- Klik dua kali setelahnya dan setel ke 0.
- Arahkan ke kunci: HKey_Local_Machine System CurrentControlSet Control SecurityProviders SCHANNEL Protocols SSL 3.0 Client
- Jika jalur tidak ada, buat dengan menggunakan metode di atas.
- Klik kanan pada Client dan pilih New> Dword (nilai 32-bit).
- Beri nama Diaktifkan.
- Klik dua kali dan ubah nilainya menjadi 0.
- Mulai ulang PC.
Informasi lebih lanjut tersedia di halaman bantuan ini .