Google cảnh báo lỗi bảo mật giao thức SSL 3.0

Google thông báo đã ngừng hỗ trợ giao thức SSL 3.0 trên trình duyệt Chrome của mình nhằm ngăn chặn hacker đánh cắp cookie và dữ liệu người dùng.

Theo đội ngũ an ninh của Google thì giao thức SSL 3.0 có một lỗi bảo mật nghiêm trọng có thể cho phép hacker đánh cắp cookie và các dữ liệu liên quan khác của người dùng Internet.

google

Theo Google giải thích, giao thức SSL 3.0 với tuổi đời gần 15 năm hiện đã lỗi thời, không còn an toàn nữa vì khá dễ dàng bị tấn công tựa như kiểu tấn công man-in-the-middle vốn vẫn được dùng để đánh chặn và giải mã các cookie đã được mã hóa.

Tuy nhiên, ngay cả khi các máy chủ hỗ trợ những giao thức an toàn hơn như TLS 1.0, TLS 1.1 hay TLS 1.2, thìcác hacker vẫn có thể tấn công vì hầu hết các giao thức mới đều tương thích ngược với SSL 3.0. Google cho hay việc vô hiệu hóa SSL 3.0 có thể ngăn chặn các cuộc tấn công từ hacker, song, điều này có thể gây ra các vấn đề về khả năng tương thích. Google khuyến cáo ít nhất trong thời gian này người dùng nên sử dụng biện pháp thay thế TLS_FALLBACK_SCSV giúp vô hiệu hóa giao thức SSL 3.0 khi một client cố tái kết nối một kết nối mạng bị ngắt.

Trình duyệt Chrome của Google từ tháng 02 đã hỗ trợ TLS_FALLBACK_SCSV và hiện vẫn đang được tiếp tục thử nghiệm khả năng vô hiệu hóa SSL 3.0. Người dùng Firefox, Opera cũng có thể yên tâm trước lỗ hổng bảo mật này vì việc cập nhật lên phiên bản trình duyệt mới nhất cũng có thể giúp vô hiệu hóa lỗi trên.