POODLE (SSLv3)

Padding Oracle On Downgraded Legacy Encryption

Errore correlato

“Questo server ha il protocollo SSLv3 abilitato ed è vulnerabile all’attacco Poodle (SSLv3). Disabilita SSLv3 sul server."

Problema

Nel 2014, i ricercatori Google hanno scoperto una vulnerabilità nel protocollo SSL 3.0 e hanno nominato la vulnerabilità "POODLE" (Padding Oracle On Downgrading Legacy Encryption).

Anche se il protocollo SSL 3.0 è abilitato, un attacco MITM (man-in-middle) può intercettare i collegamenti crittografati e calcolare il testo comune delle connessioni intercettate.

Vulnerabilità/difetti di sicurezza SSL 3.0:

  • L’integrità del messaggio non è sicura
  • Vulnerabile agli attacchi Man-In-The-Middle

Il modo più efficace è contrastare l’attacco POODLE è disabilitare il protocollo SSL 3.0.

Soluzione

Lato server

Lato client

Inoltre, DigiCert raccomanda la disabilitazione del protocollo SSL 3.0 e l’abilitazione dei protocolli TLS (1.2 o 1.3) sul lato client.