ข่าวไอที Blognone » พบบั๊ก POODLE ช่องโหว่ร้ายแรงใน SSL 3.0 กระทบการเชื่อมต่อแบบปลอดภัยของเบราว์เซอร์

พบบั๊ก POODLE ช่องโหว่ร้ายแรงใน SSL 3.0 กระทบการเชื่อมต่อแบบปลอดภัยของเบราว์เซอร์

15 ตุลาคม 2014
24   0

กูเกิลประกาศค้นพบบั๊กร้ายแรงในสเปกของโพรโทคอล SSL เวอร์ชัน 3.0 ที่ส่งผลให้การเชื่อมต่อ SSL อาจถูกเจาะและไม่ปลอดภัยอย่างที่แล้วๆ มา โดยกูเกิลให้ชื่อบั๊กนี้ว่า POODLE

SSL หรือ Secure Socket Layer เป็นโพรโทคอลความปลอดภัยที่ถูกสร้างโดย Netscape ในปี 1995 และ SSL 3.0 เป็นมาตรฐานเก่าที่ออกตั้งแต่ปี 1996 (เกือบ 20 ปีแล้ว) หลังจากนั้นมาตรฐานถูกเปลี่ยนชื่อเป็น TLS (Transport Layer Security) เวอร์ชันล่าสุดคือ 1.2 ออกเมื่อปี 2008 อย่างไรก็ตาม คนทั่วไปยังนิยมเรียกกันติดปากกว่า SSL อยู่ (และหลายคนเข้าใจผิดว่า SSL 3.0 ใหม่กว่า TLS 1.2)

บั๊ก POODLE มีผลเฉพาะกับ SSL 3.0 ที่เก่ามากแล้ว แต่เว็บเบราว์เซอร์ยังรองรับและเว็บเซิร์ฟเวอร์ยังใช้งานกันอยู่บ้าง (สถิติของ Mozilla บอกว่า 0.3% ของการสื่อสารที่ปลอดภัยทั้งหมด) ที่สำคัญคือเบราว์เซอร์จะทดลองสื่อสารด้วย TLS เวอร์ชันใหม่ก่อน ถ้าหากไม่พบก็จะถอยเวอร์ชันลงไปเรื่อยๆ ซึ่งอาจเป็นอันตรายเพราะแฮ็กเกอร์ใช้ช่องโหว่ POODLE ของ SSL 3.0 โดยที่เราไม่รู้ตัว

ทางแก้ไขเบื้องต้นคือให้เบราว์เซอร์หรือเซิร์ฟเวอร์รองรับฟีเจอร์ TLS_FALLBACK_SCSV หรือ TLS Fallback Signaling Cipher Suite Value ซึ่งจะช่วยป้องกันการดาวน์เกรดโพรโทคอล TLS/SSL เพื่อลดโอกาสถูกโจมตี กูเกิลบอกว่า Chrome และเซิร์ฟเวอร์ของตัวเองรองรับฟีเจอร์นี้อยู่แล้ว และวันนี้กูเกิลจะลองปิดการดาวน์เกรดเป็น SSL 3.0 กับ Chrome ส่วนในอนาคตจะเลิกสนับสนุน SSL 3.0 อย่างถาวร

ฝั่งของ Firefox ออกมาบอกว่าจะปิด SSL 3.0 ใน Firefox 34 ที่จะออกช่วงปลายเดือนพฤศจิกายน และ Firefox 35 จะรองรับฟีเจอร์ TLS_FALLBACK_SCSV ตามมา

การปิด SSL 3.0 อาจส่งผลกระทบให้เว็บไซต์บางแห่งใช้งานไม่ได้ ซึ่งเป็นหน้าที่ของผู้ดูแลระบบที่ต้องแก้ไขเรื่องเวอร์ชันของ SSL (งานนี้แพตช์ปิดรูรั่วไม่ได้นะครับเพราะเป็นบั๊กของโพรโทคอล SSL 3.0 ไม่ใช่บั๊กของตัวซอฟต์แวร์ ต้องปิด SSL 3.0 อย่างเดียว) รายละเอียดอ่านได้จาก เอกสารของ Mozilla

ผู้ใช้กลุ่มที่มีปัญหาที่สุดคือ Windows XP ที่ยังใช้งาน IE6 เพราะรองรับแค่ SSL 3.0 เท่านั้น การปิด SSL 3.0 ฝั่งเซิร์ฟเวอร์ย่อมกระทบผู้ใช้กลุ่มนี้ และเป็นหน้าที่ของผู้ดูแลเว็บไซต์ต้องพิจารณากันเองว่าสมควรปิด SSL 3.0 หรือไม่

วิธีปิด SSL 3.0

สำหรับผู้ใช้ที่เป็นห่วงเรื่องความปลอดภัยและไม่ต้องการรอแพตช์ สามารถปิดการทำงานของ SSL 3.0 ได้เอง

  • Firefox เข้าไปที่ about:config แล้วเปลี่ยนค่า security.tls.version.min เป็น 1
  • อีกทางเลือกหนึ่งของ Firefox คือใช้ส่วนขยายชื่อ SSL Version Control
  • Chrome ให้รันด้วยพารามีเตอร์ --ssl-version-min=tls1 ต่อท้าย
  • IE เข้าไปที่ Internet Options > Advanced > Security > เอาตัวเลือก Use SSL 3.0 ออก
  • Windows และ Windows Server ให้ปรับค่าใน Group Policy - วิธีการ

ที่มา - Google Online Security Blog, Mozilla Security

Browser, HTTPS, Security, SSL

[source: https://www.blognone.com/node/61603]