Dicas sobre hospedagem de sites

Uma nova vulnerabilidade no protocolo SSL v3, apelidada como “Poodle” foi divulgada pelo time de segurança da Google. Servidores web precisam desabilitar o “SSLv3” e utilizar protocolos de segurança mais modernos o mais rápido possível, a fim de evitar possíveis ataques visando o comprometimento de informações privadas dos usuários.

A falha ocorre devido o fato do protocolo SSL v3 não realizar a validação de alguns elementos de dados. Respectivamente, um atacante pode interceptar essas informações e extrair o conteúdo do texto criptografado, obtendo acesso ao que trafega na rede, podendo assim realizar um ataque do tipo Man-in-the-middle.

Ainda não existe um patch para esta correção. A melhor opção é desativar o suporte ao SSLv3 e utilizar apenas os protocolos TLSv1, TLSv1.1 e TLSv1.2. Quando o suporte ao SSLv3 é desabilitado os clientes que acessam o site ou loja virtual utilizando o navegador Internet Explorer 6.0 ou versões inferiores, terão problemas de visualização.

A alternativa recomendada é utilizar uma função do SSL chamada TLS_FALLBACK_SCSV. Este recurso notifica o cliente que você tentou primeiramente utilizar uma criptografia mais forte, com isso é possível rejeitar a tentativa de fazer downgrade no nível da criptografia, o que poderia prevenir um ataque do tipo MiTM. Um patch para o OpenSSL 1.0.1 foi lançado onde existe uma implementação do TLS_FALLBACK_SCSV.

Mantenham seus servidores de hospedagem de sites seguros!

Por Maclei Em 21/10/2014

1 resposta até agora

Escreva um comentário


  • RSS
  • Delicious
  • Digg
  • Facebook
  • Twitter
  • Orkut
  • Youtube

Publicidade

Facebook

Publicidade