SSLv3 ha muerto oficialmente [IETF]

El protocolo criptográfico Secure Socket Layer (SSL) nació hace 20 años como una necesidad de brindar comunicaciones seguras por una red, generalmente Internet. La versión 1.0 nunca fue pública, mientras que la versión 2.0 de dicho protocolo fue presentada en el año 1995 pero contenía muchas fallas de seguridad lo que llevaron finalmente a diseñar la versión SSL 3.0.

Ahora, en junio del corriente año la organización IETF (Internet Engineering Task Force) ha tomado una postura oficial sobre el mismo a través de la RFC 7568: Deprecating Secure Sockets Layer Version 3.0 : SSL 3.0 es oficialmente obsoleto.

Desde hace tiempo se venía percibiendo. Quienes trabajamos en IT, más precisamente en seguridad, venimos aconsejando hace mucho tiempo no utilizar SSL 3.0 en servidores. Hoy estamos contentos de que IETF haya anunciado el final de SSL 3.0 de manera "oficial".

The Secure Sockets Layer version 3.0 (SSLv3), as specified in RFC 6101, is not sufficiently secure. This document requires that SSLv3 not be used.
The replacement versions, in particular, Transport Layer Security (TLS) 1.2 (RFC 5246), are considerably more secure and capable protocols.

Iniciativas como disablessl3.com existen desde hace bastante tiempo, instando a los administradores de sistemas a deshabilitar SSLv3 siempre que sea posible. Con vulnerabilidades como Heartbleed, Shellshock y la más reciente y conocida POODLE (https://poodle.io/) la muerte de SSLv3 es más que bienvenida.

El publicación RFC apunta a todos los que usan SSLv3, tanto servidores como clientes.

Pragmatically, clients MUST NOT send a ClientHello with ClientHello.client_version set to {03,00}.
Similarly, servers MUST NOT send a ServerHello with ServerHello.server_version set to {03,00}.
Any party receiving a Hello message with the protocol version set to {03,00} MUST respond with a "protocol_version" alert message and close the connection.

SSLv3 ha muerto. Larga vida a TLS 1.2!

Alexis Tondo para Segu-Info

Suscríbete a nuestro Boletín