W ubiegłym tygodniu została opublikowana luka związana z protokołem SSLv3, określana tez akronimem POODLE. W związku z tym protokół SSLv3 nie jest już uznawany za bezpieczny sposób szyfrowania danych przesyłanych do serwera www.
Luka pozwala na wykonanie ataku Man in the Middle, między przeglądarką użytkownika a serwerem z którym się łączy przeglądarka. Dane statystyczne które zbieraliśmy przez kilka ostatnich dni wykazały ze SSLv3 był używany w mniej niż 5 promilach szyfrowanych połączeń obsługiwanych przez nasze serwery.
Dlatego zgodnie z zaleceniami zdecydowaliśmy się wyłączyć obsługę protokołu SSLv3 na wszystkich serwerach wirtualnych IQ PL.
Szczegółowe informacje techniczne:
https://www.openssl.org/~bodo/ssl-poodle.pdf
https://blog.mozilla.org/security/2014/10/14/the-poodle-attack-and-the-end-of-ssl-3-0/
https://technet.microsoft.com/en-us/library/security/3009008.aspx
