Un grupo de investigadores de Google ha revelado un bug crítico en el veterano estándar de cifrado SSL 3.0. Esta vulnerabilidad, denominada "POODLE", abre camino a ataques man-in-the-middle para acceder a cookies HTTP que podrían contener información sensible, eludiendo por completo el protocolo de seguridad.
La versión afectada de SSL ya cuenta con 15 años de historia y en la mayoría de los casos ha dejado paso a protocolos de cifrado más modernos. No obstante, el problema sigue de relevancia debido a que SSL 3.0 todavía se utiliza como alternativa cuando fallan sus versiones sucesoras, un comportamiento que se puede inducir de forma deliberada en algunos casos.
Por el momento, la compañía explica (pdf) que la mejor solución pasa por dar soporte tanto en navegadores como en servidores a la función TLS_FALLBACK_SCSV, que evita la regresión a protocolos por debajo de TLS 1.2. Este mecanismo cierra la vía de ataque sin causar problemas de compatibilidad por desactivar el soporte para SSL 3.0.
Los expertos de Google reconocen que no hay "una solución razonable" para POODLE, por lo que en última instancia "SSL 3.0 se deberá evitar por completo". En respuesta a la vulnerabilidad, la Universidad de Michigan ha publicado un estudio en el que se detallan los pasos para desactivar SSL 3.0 en navegadores y servidores.
Según los datos de la universidad, el 96,9% de las páginas del "top un millón" en el ranking Alexa dan soporte a SSL 3.0, mientras que solo un 0,12% de estas no ofrecen ninguna versión de TLS. En el lado de los navegadores, el principal riesgo corresponde a los usuarios de Internet Explorer 6 o inferior, que no presenta compatibilidad con TLS.
