กูเกิลประกาศพบบั๊กร้ายแรงในสเปกของโพรโทคอล SSL 3.0 ที่ส่งผลให้การเชื่อมต่อ SSL อาจถูกเจาะและไม่ปลอดภัยอย่างที่แล้วๆ มา โดยกูเกิลให้ชื่อบั๊กนี้ว่า POODLE
บั๊ก POODLE มีผลเฉพาะกับ SSL 3.0 ที่เก่ามากแล้ว แต่เว็บเบราว์เซอร์ยังรองรับและเว็บเซิร์ฟเวอร์ยังใช้งานกันอยู่บ้าง ที่สำคัญคือเบราว์เซอร์จะทดลองสื่อสารด้วย TLS เวอร์ชันใหม่ก่อน ถ้าหากไม่พบก็จะถอยเวอร์ชันลงไปเรื่อยๆ ซึ่งอาจเป็นอันตราย เพราะแฮกเกอร์ใช้ช่องโหว่ POODLE ของ SSL 3.0 โดยที่เราไม่รู้ตัว
ทางแก้ไขเบื้องต้นคือ ให้เบราว์เซอร์หรือเซิร์ฟเวอร์รองรับฟีเจอร์ TLS_FALLBACK_SCSV หรือ TLS Fallback Signaling Cipher Suite Value ซึ่งจะช่วยป้องกันการดาวน์เกรดโพรโทคอล TLS/SSL เพื่อลดโอกาสถูกโจมตี กูเกิลบอกว่า Chrome และเซิร์ฟเวอร์ของตัวเองรองรับฟีเจอร์นี้อยู่แล้ว และวันนี้กูเกิลจะลองปิดการดาวน์เกรดเป็น SSL 3.0 กับ Chrome ส่วนในอนาคตจะเลิกสนับสนุน SSL 3.0 อย่างถาวร
ฝั่งของ Firefox ออกมาบอกว่าจะปิด SSL 3.0 ใน Firefox 34 ที่จะออกช่วงปลายเดือนพฤศจิกายน และ Firefox 35 จะรองรับฟีเจอร์ TLS_FALLBACK_SCSV ตามมา
การปิด SSL 3.0 อาจส่งผลกระทบให้เว็บไซต์บางแห่งใช้งานไม่ได้ ซึ่งเป็นหน้าที่ของผู้ดูแลระบบที่ต้องแก้ไขเรื่องเวอร์ชั่นของ SSL (งานนี้แพตช์ปิดรูรั่วไม่ได้ เพราะเป็นบั๊กของโพรโทคอล SSL 3.0 ไม่ใช่บั๊กของตัวซอฟต์แวร์ ต้องปิด SSL 3.0 อย่างเดียว)
ผู้ใช้กลุ่มที่มีปัญหาที่สุดคือ Windows XP ที่ยังใช้งาน IE6 เพราะรองรับแค่ SSL 3.0 เท่านั้น การปิด SSL 3.0 ฝั่งเซิร์ฟเวอร์ย่อมกระทบผู้ใช้กลุ่มนี้ และเป็นหน้าที่ของผู้ดูแลเว็บไซต์ต้องพิจารณากันเองว่าสมควรปิด SSL 3.0 หรือไม่
วิธีปิด SSL 3.0
- สำหรับผู้ใช้ที่เป็นห่วงเรื่องความปลอดภัยและไม่ต้องการรอแพตช์ สามารถปิดการทำงานของ SSL 3.0 ได้เอง
- Firefox เข้าไปที่ about:config แล้วเปลี่ยนค่า security.tls.version.min เป็น 1
- อีกทางเลือกหนึ่งของ Firefox คือใช้ส่วนขยายชื่อ SSL Version Control
- Chrome ให้รันด้วยพารามีเตอร์ --ssl-version-min=tls1 ต่อท้าย
- IE เข้าไปที่ Internet Options > Advanced > Security > เอาตัวเลือก Use SSL 3.0 ออก
- Windows และ Windows Server ให้ปรับค่าใน Group Policy
ที่มา : Google
Leave a comment!
You must be logged in to post a comment.