Es difícil para envolver nuestras mentes alrededor de todas estas catástrofes de Internet a medida que ocurren, y justo cuando pensamos que el Internet era seguro de nuevo después de Heartbleed y Shellshock amenazaron con "acabar con la vida tal como la conocemos", sale CANICHE.
No te pongas demasiado trabajado, ya que no es tan amenazante como suena. La verdad es que es un tema que preocuparse por, pero hay pasos sencillos que puede tomar para protegerse a sí mismo.
¿Cuál es CANICHE?
Vamos a empezar en la planta baja. ¿Cuál es CANICHE? En primer lugar, significa " Relleno de Oracle On Degradado Legado de cifrado . "El problema de seguridad es exactamente lo que su nombre indica, una rebaja protocolo que permite hazañas en una forma anticuada de cifrado.El tema llegó a la atención del mundo de este mes cuando Google dio a conocer un documento llamado "Esta CANICHE Bites: Explotación El SSL 3.0 Retorno".
Para explicar esto en términos más simples, si un atacante mediante un ataque man-in-the-middle puede tomar el control de un router a un punto de acceso público, que puede obligar a su navegador para rebajar a SSL 3.0 (un protocolo más antiguo) en lugar de utilizar el mucho más moderno TLS (Transport Layer Security), y luego explotar un agujero de seguridad en SSL para secuestrar sus sesiones del explorador. Dado que este problema está en el protocolo, cualquier cosa que utiliza SSL se ve afectada.
Mientras tanto en el servidor y el cliente (navegador web) soporte SSL 3.0, el atacante puede forzar una rebaja en el protocolo, por lo que incluso si su navegador intenta utilizar TLS, que termina siendo obligado a utilizar SSL en su lugar. La única respuesta es para cada lado o ambos lados para eliminar el soporte para SSL, la eliminación de la posibilidad de ser degradado.
Si usted navega principalmente desde casa y no utiliza puntos de acceso públicos, el potencial de daño es bastante bajo, y sólo puede tomar los pasos descritos más adelante en el artículo para protegerse. Si a menudo se utiliza un punto de acceso público, podría ser el momento depensar en usar una VPN .
Cómo podemos resolver el problema?
Como no hay manera de resolver los problemas con SSL, la única solución es que los fabricantes de navegadores y servidores web para actualizar todo para eliminar el soporte para SSL y requieren cifrado TLS solamente.
Google y Firefox ya han anunciado que estarán quitando apoyo en el futuro, y mientras que (aún) no hemos escuchado lo mismo de Microsoft, es extremadamente fácil como un usuario final para deshabilitar SSL 3.0 en IE. La mayor parte de las grandes empresas de la web está quitando soporte para SSL después de este problema salió a la luz, pero tomará un tiempo para todo el mundo para hacerlo.
Como consumidor, usted puede eliminar el soporte para SSL desde su navegador usando uno de los métodos descritos a continuación - o si utiliza Firefox o Google Chrome y no está utilizando puntos de acceso en todo momento, se podía esperar a que actualicen el navegador.O usted puede estar seguro que has arreglado el problema por sí mismo.
Desactivación SSL 3.0 en Mozilla Firefox
Si usted es un usuario de Mozilla Firefox, tus SSL 3.0 preocupaciones serán puestos a la cama el 25 de noviembre de 2014 cuando Fireox 34 se libera. El único problema con esto es que todavía no es noviembre y hay que tomar medidas para protegerse a sí mismo ahora. Comience abriendo el navegador Firefox y navegando a la SSL Version Control página de descarga de Firefox.
Cuando se ha instalado correctamente, puede introducir " about: addons "en la barra de navegación y seleccione la extensión" SSL control de versiones ". Puede hacer clic en "Opciones" para ver la configuración de la extensión. Asegúrese de que el "Actualizaciones automáticas" están y que el "mínimo SSL Versión" está ajustado a "TLS 1.0"
Después de Firefox 34 ha sido puesto en libertad, usted puede sentirse libre para deshabilitar la extensión o desinstalarlo.
Desactivación SSL 3.0 en Google Chrome
Si usted es un usuario de Google Chrome, usted puede estar seguro de que el SSL 3.0 se desactivará en los próximos meses, aunque todavía no han fijado una fecha. Si desea protegerse ahora, se puede hacer en unos pocos pasos simples. Simplemente vaya a su icono en el escritorio de Google Chrome y haga clic derecho sobre él y seleccione "Propiedades" en la parte inferior del menú emergente.
En la ventana "Propiedades", verá un cuadro de entrada de texto que dice "Target". Simplemente haga clic en este cuadro y pulsa el botón "End" en su teclado. A continuación, pulse la "barra espaciadora" y copia y pega este texto en el extremo.
--ssl-versión-min = TLS1
Pulse el botón "Aplicar" y luego haga clic en "Continuar" en la ventana emergente a continuación, pulse "Aceptar".
Ahora su navegador rechazará automáticamente SSL 3.0 certificados y sólo aceptar TLS 1.0 y superior. Vale la pena señalar que si usted lanza Chrome a través de cualquier otro acceso directo en su ordenador, no va a ser el uso de esta bandera.
Desactivación SSL 3.0 en Internet Explorer
Microsoft no ha anunciado aún cuando están planeando para abordar la cuestión de SSL 3.0 así que lo mejor es desactivar usted mismo con la apertura de su menú y escribiendo "Inicio" en "Opciones de Internet".
Ir a la pestaña "Avanzado" y baje hasta la sección "Seguridad" hasta que vea las opciones SSL y TLS, y luego desmarca la opción para Usar SSL 3.0 y habilitar TLS en su lugar.
De esta manera usted puede estar seguro de que sus navegadores de Internet están a salvo de los posibles ataques CANICHE.
Crédito de la imagen: Karen en Flickr
