Tags:
Node Thumbnail

ปัญหาช่องโหว่ POODLE ในโปรโตคอล SSLv3 ทำให้มีทางแก้เดียวคือการเปลี่ยนไปใช้ TLS 1.0 ขึ้นไปเท่านั้น ตอนนี้ทาง Chrome ก็ออกมาประกาศแล้วว่าใน Chrome 39 ที่กำลังจะออกเร็วๆ นี้จะปิดการใช้งาน SSLv3 เป็นค่าเริ่มต้น

กูเกิลให้เวลาเว็บต่างๆ ที่ยังต้องใช้เวลาปรับตัวอีกสองเวอร์ชั่น โดยใน Chrome 39 ทุกเว็บที่มีการเชื่อมต่อเป็น SSLv3 (แม้จะเป็นภาพใดภาพหนึ่งในเว็บ) ไอคอนหน้า URL จะกลายเป็นไอคอนเตือนสีเหลืองว่ามีข้อผิดพลาด ส่วนใน Chrome 40 จะไม่สามารถเข้าใช้งานได้เลย

อย่างไรก็ดีสำหรับเว็บภายในองค์กร Chrome ยังคงเปิดตัวเลือก SSLVersionMin และ SSLVersionFallbackMin ให้เลือกใช้งานเอาไว้ สำหรับองค์กรที่อัพเกรดเซิร์ฟเวอร์ไม่ทันก็สามารถใช้งานไปก่อนได้ แต่ในระยะยาวโค้ดที่เกี่ยวข้องกับ SSLv3 จะถูกถอดออกจาก Chrome ทั้งหมด ทางโครงการเตือนว่าไม่ควรใช้แนวทางตั้งค่านี้เป็นทางแก้ไขระยะยาว

ผู้ดูแลระบบสามารถทดสอบเซิร์ฟเวอร์ด้วยการรัน Chrome แบบเปิดตัวเลือก --ssl-version-min=tls1 ได้

ก่อนหน้านี้ Firefox ประกาศว่าจะปิด SSLv3 เช่นเดียวกันในเวอร์ชั่น 34 ซึ่งจะเริ่มอัพเดตวันที่ 25 พฤศจิกายนนี้ คงต้องรีบอัพเดตเซิร์ฟเวอร์กันโดยด่วนครับ

ที่มา - Google Groups: Chromium.org

Get latest news from Blognone