畅享博客 > 小渣渣 > SSL 3.0曝漏洞遭封杀
2014/11/1 14:07:38

SSL 3.0曝漏洞遭封杀

由于SSL 3.0网络协议最近曝出严重安全漏洞,很多相关厂商都开始采取应对措施,苹果也通知开发者,其推送通知服务(APNS)将删除对SSL 3.0的支持,直接在Provider Communication接口中将其禁用。苹果表示,推送通知今后会改用更安全的TLS安全传输层协议,开发者需要注意支持。

如果你的应用在同时使用SSL 3.0、TLS,将不会受到任何影响,但如果只用了SSL 3.0,还请尽快升级。关网络安全相关知识参考计算机网络详解

本月早些时候,Google的一名研究人员发现了SSL 3.0中的一个安全漏洞,称之为“POODLE”(Padding Oracle On Downgraded Legacy Encryption)。攻击者可以向TSL发送虚假错误提示,然后将安全连接强行降级到古老的SSL 3.0,然后就可以利用其中的设计漏洞窃取敏感信息。

Google已经在自己的相关产品中陆续禁止回溯相容,强制使用TLS协议。Mozilla也会在计划于11月25日发布的Firefox 34中彻底禁掉SSL 3.0。微软同样发出了安全通告。国内的不少网站也已经行动起来。

SSL最初是网景(Netscape)公司设计的Web安全传输协议,诞生于1999年,已经相当古老。IETF将其进行了标准化,并改名为TLS。从技术上讲,TLS 1.0、SSL 3.0的差异其实非常微小,但前者更加安全。




查阅更多相关主题的帖子: 安全规范 安全法律

评论

您还未登录,不能对文章发表评论!请先登录