El protocolo criptográfico SSL apareció hace un par de
décadas, aunque la versión 1.0 nunca se publicó debido a que tenía graves
problemas, la versión 2.0 de dicho protocolo fue presentada en 1995, pero poco
tiempo después lanzaron SSL 3.0 debido a los fallos de seguridad encontrados.
Ahora SSLv3 también se ha considerado oficialmente obsoleto por la IETF.
La organización Internet Engineering Task Force (IETF) que se
encarga de hacer de Internet un lugar mejor, ha decidido a través del RFC 7568
que el protocolo SSLv3 especificado en la RFC 6101 no es suficientemente seguro
por lo que se considera oficialmente obsoleto. Se recomienda que no se siga
utilizando si de verdad queremos que nuestras comunicaciones sean seguras. Para
poder proporcionar seguridad y privacidad en las comunicaciones, se recomienda
utilizar el protocolo Transport Layer Security 1.2 (TLS 1.2) que es
considerablemente más seguro y más compatible con todos los protocolos que
existen actualmente.
Aunque ya se sabía que el uso de SSLv3 no era recomendado
utilizarlo en servidores web, es ahora cuando la IETF lo ha hecho de forma
oficial. Con las vulnerabilidades que han aparecido últimamente como Heartbleed
y POODLE en SSL/TLS, que se retire SSLv3 que es un protocolo no seguro es una
grandísima noticia.
Si eres administrador de sistemas y aún no has deshabilitado
el soporte SSLv3 en tu servidor web, hazlo ya para proteger al máximo a tus
clientes. Aunque de manera predeterminada siempre se selecciona el protocolo
más seguro, si hay un usuario malintencionado “escuchando”, podría forzar a que
se conecten vía SSLv3 en lugar de TLS 1.2 y de esta manera ser más fácil el
robo de información.
En la página web disablesslv3.com tenéis toda la información
sobre por qué no debemos utilizar este protocolo que ya es obsoleto
oficialmente por la IETF. Además tenéis manuales tanto para usuarios como para
administradores de sistemas para no permitir el acceso a webs vía SSLv3.
El nuevo Firefox 39 retira el soporte para SSLv3
- Esta semana se lanzó la nueva versión del navegador Mozilla Firefox 39, en esta nueva versión una de los principales cambios ha sido la retirada del soporte para el protocolo SSLv3 tal y como podéis ver en su changelog oficial. Además también han retirado el protocolo RC4 excepto en aquellas webs que tengamos como páginas de confianza donde podremos seguir utilizándolo, no obstante se recomienda no utilizarlo si nuestra privacidad y seguridad nos preocupa de verdad.