POODLE è un bug di SSLv3 – scoperto da Google – che mette a rischio le comunicazioni criptate sul protocollo che ha già 15 anni: nonostante sia considerata obsoleta, la versione 3.0 è supportata da tutti i browser e adottata da molti server che la usano come fallback di TLS. Significa che gli utenti di Chrome e Firefox sono potenzialmente esposti agli hacker, se non prendono le dovute precauzioni. Big G e Mozilla hanno fatto sapere che prenderanno subito provvedimenti per disabilitarne il supporto (e proteggere la navigazione).

SSL 3.0 è tuttora in uso perché serve a Internet Explorer 6 per gestire i certificati e la sua disabilitazione a livello di server comprometterebbe l’accesso a numerosi siti web da quella versione del browser, comunque non più supportata neppure da Microsoft. Chrome sarà aggiornato con una patch, ma gli utenti possono avviarlo da riga di comando con --ssl-version-min=tls1 per essere protetti in attesa dell’aggiornamento. Più facile su Firefox dove basta digitare about:config nella barra e impostare security.tls.version.min su 1.

Altri browser, come Internet Explorer 11, permettono di scegliere se usare o meno il protocollo dalle impostazioni. È sufficiente andare in Opzioni InternetAvanzate per individuare la voce Sicurezza e togliere la spunta a Usa SSL 3.0. Gli utenti, erroneamente, pensano che questa versione sia più recente di TLS 1.0 e sono portati a disabilitare quest’ultima, anziché quella afflitta da bug come POODLE. Non è un problema grave quanto Heartbleed, ma è preferibile tutelarsi: le comunicazioni criptate includono i pagamenti online.

photo credit: Paul.Carroll via photopin cc