Nueva vulnerabilidad en la version SSL 3.0 descubierta por Google.

Poodle, es el apodo con el que se ha nombrado una vulnerabilidad SSL descubierta por Google, que podría permitir un ataque de los nombrados man-in-the-middle, y que provocaría robar la información de los usuarios. El sistema de ataque se basa en crear muchas peticiones similares al servidor, de manera que finalmente una de ellas entra y roba todos los datos.
Sin embargo, a pesar de todo no hay que alarmarse, ya que este protocolo tiene 15 años de antigüedad y hay nuevos lenguajes más seguros.

Esta nueva vulnerabilidad es con el protocolo SSL; Los certificados SSL y Code Signing existentes no se ven afectados y no necesitan ser reemplazados.

En el caso “Poodle“, Google también ha dado con la solución: desactivar el soporte SSL 3.0. De esta manera evitará que un usuario utilice el servidor cuando tiene una conexión fallida. También es aconsejable que actualicen rápidamente sus navegadores, ya que constantemente tienen actualizaciones de seguridad.
El nuevo bug “Poodle” afecta solo a la versión 3.0 SSL, la cual tiene más de 15 años de existir y ha sido reemplazada por TLS 1.0, TLS 1.1 y TLS 1.2, pero el descubrimiento de la falla aun es importante porque las implementaciones más modernas de TLS aun son compatibles con Open SSL 3.0
La mayoría de los navegadores aun dan soporte SSL 3.0 y pueden ser víctimas de esta nueva vulnerabilidad si el protocolo es disparado por ataques en la red.
Como mencionamos anteriormente, deshabilitando el soporte SSL 3.0 es suficiente para mitigar el problema, pero puede causar problemas de compatibilidad. Por lo tanto, se ha anunciado el soporte para TLS_FALLBACK_SCSV, que previene el SSL 3.0 de ser usado cuando el cliente intenta conectarse nuevamente a una conexión fallida.
Google confirmó que Chrome da soporte a TLS_FALLBACK_SCSV desde el mes de Febrero pasado y que están haciendo pruebas desde el martes que fue identificado el problema y que desactiva el SSL 3.0. En los próximos meses, Google espera remover el soporte SSL 3.0 por completo de todos sus dispositivos.

SSL, el protocolo de seguridad más estable en Internet

Si bien el protocolo de seguridad SSL tiene fallas, como esta de “Poodle” o la revelada a principios de 2014 como heartbleed, la realidad es que es un sistema estable y que tiene pocas fallas de fugas de información respecto a una web abierta. Además, las grandes corporaciones de Internet vigilan estas fallas ya que en un entorno estable y seguro pueden mantener su negocio.

¿Qué hacer con una falla de SSL?

Cuando tengas noticia de una falla de Secure Socket Layer, te recomendamos llamar a tu Autoridad Certificadora (CA) para que te pueda indicar si existen parches para tapar esa falla o bien si existe alguna manera de proteger a tus clientes.
Si aun tienes dudas, puedes marcarnos al 01 800 877 8737