miércoles, 1 de julio de 2015

Señores SSLv3 Ha Muerto

Hoy estoy de enhorabuena, no solo puedo centrarme en este tipo de entradas as libres y con mucha mas personalidad sino que por fin el [IETF siglas de Internet Enginnering Task Force] (Organismo que produce documentos técnicos pertinentes que influyen en el diseño de manera que la gente, usa y gestiona Internet)  ha declarado al protocolo SSL 3.0 Muerto, aunque ya era hora porque 20 años de protocolo han dado para mucho. 



Este protocolo nos ha dado muchos dolores de cabeza a los que nos dedicamos a la gestión de vulnerabilidades desde POODLE. Hasta yo he pensado en tener un postit anunciando los días sin una vulnerabilidad en SSLv3. Así que me alegro mucho de que en el RFC 7568 lo proclamen como obsoleto.


"The Secure Sockets Layer version 3.0 (SSLv3), as specified in RFC 6101, is not sufficiently secure. This document requires that SSLv3 not be used. "
"The replacement versions, in particular, Transport Layer Security (TLS) 1.2 (RFC 5246), are considerably more secure and capable protocols."
Bueno, ahora solo tenemos faena para gestionar el cambio a TLS y a que salgan nuevas vulnerabilidades para esta nueva versión del protocolo.

Fuente:

Sed Buenos y sacad el cava antes de que sea tarde ;) 

No hay comentarios:

Publicar un comentario