SSL v3.0 Güvenlik Açığı Hakkında Bilinmesi Gerekenler


SSL sertifkalı sitelerin güvenliklerinden şüphe etmemize neden olan güvenlik açığı tespitleri yaygınlaşmaya başlamıştır.  Bunlardan biride son zamanlarda gündemde olan SSL V3 güvenlik açığıdır. Bu açık nedeniyle tarayıcınızın Https:// olarak giriş yapılan SSL kullanan güvenli sitelerdeki  işlemlerde tarayıcınızın  SSL v3 desteğinden kaynaklı olarak tüm çerezlerinize ulaşılmasını ve bu sayede şifreli bağlantı ile veri alış-verişiniz ele geçirilebilir ve  şifrelerin daha kolay çözülebilmesine olanak sağlamaktadır.

SSL V3 desteği 15 yıllık bir geçmişi bulunan ve tespit edilen bu açıktan sonra artık askıya alınması ve kullanımı bırakılması gereken bir protokoldür.  Google araştırmacıları tarafından tespit edilen bu açık ile ilgili POODLE saldırısı ile (Padding Oracle On Downgraded Legacy Encryption) güvenli çerezler ele geçirilebilmekte şeklinde uyarıda bulunuldu. Bu güvenlik açığının önüne geçilebilmesi için Kullanıcı bazlı olarak tüm internet tarayıcılarınızdan SSL V3 özelliğini kapatmanız gerekmektedir. SSL V3 özelliğini kapatmak  için her tarayıcı üzerinde farklı ama basit işlemler yapmak yeterlidir.

Google Chrome üzerinde bu özelliği kapatmak için :

-İlk olarak Masaüstünüzde bulunan Chrome kısayoluna sağ tıklayarak özellikler bölümüne girmemiz gerekmektedir.

– Hedef satırında bulunan  “C:\Program Files (x86)\Google\Chrome\Application\chrome.exe”   bölümünün en sonuna boşluk bırakarak   –ssl-version-min=tls1   kodunu eklememiz yeterlidir. Yani Hedef bölümü  “C:\Program Files (x86)\Google\Chrome\Application\chrome.exe” –ssl-version-min=tls1   olması gerekmektedir. Kaydederken yönetici izni isteyebilir.



Mozilla Firefox üzerinden SSL V3 özelliğini kapatmak için :

– Öncelikle Firefox tarayıcımızı açarak adres satırına “about:config” yazarak giriş yapmamız gerekmektedir.

– Gelen liste menüsünde arama ekranına “security.tls.version.min”  değerini yazarak aratmanız gerekmektedir.

–  “security.tls.version.min”  değeri 0 ise bunu üzerine 2 kez tıklayarak 1 olarak değiştirip kaydetmemiz yeterlidir.



İnternet Explorer üzerinde SSLV3 özelliğini kapatmak için :

– Öncelikle Explorer tarayıcımızı açarak Ayarlar menüsünden İnternet Seçeneklerine girmemiz gerekmektedir.

– Karşımıza gelen explorer ayarları menüsünden Gelişmiş sekmesine girerek karşımıza gelen listeden SSL V3.0 Kullan seçeneğindeki işareti kaldırmamız yeterlidir.

Hiç yorum yok :

Yorum Gönder