渗透SSL3.0后门

http://googleonlinesecurity.blogspot.com/2014/10/this-poodle-bites-exploiting-ssl-30.html
渗透SSL3.0后门

今天我们公布了SSL3.0设计中的一个漏洞细节.
网络黑客利用该漏洞可以推测安全链接的明文.
我与Thai Duong 和 Krzysztof Kotowicz（也是Google雇员）共同发现了该漏洞.
SSL 3.0已经发布将近15年了，但是对它的支持仍广泛存在.
非常重要的是，几乎所有的浏览器都支持它，为了在HTTPS服务器上解决这个bugs，浏览器将用包含SSL3.0的旧协议重试失败的连接.
因为网络黑客也可以引起链接的失败，所以他们触发SSL3.0起作用，然后渗透该漏洞.
禁用SSL3.0的支持，或者带SSL3.0的CBC模式的密码，都能够减缓该问题的发生，但是直到今天仍会出现大量的兼容性问题.
我们推荐的解决方案是支持 TLS_FALLBACK_SCSV.
这个机制解决了重试失败链接的问题，进而阻止黑客诱发SSL3.0的使用.
它也阻止了TLS 1.2到1.1或者1.0安全级别的下降，而且有助于阻止进一步的攻击.
自从一月份，Google Chrome 和我们的服务器都支持 TLS_FALLBACK_SCSV，而且我们有有利的证据表明它能被正常的使用，而无需担心兼容性问题.
此外，Google Chrome从今天将开始测试禁用SSL3.0的这种变化.
这种改变将终止某些站点，这些站点需要快速的升级.
在接下来的几个月里，我们希望从我们的客户端里完全移除对SSL 3.0的支持.
非常希望你广而告之，这将有助于大众对此问题进行讨论.