Skip to main content

POODLE (SSLv3)

Padding Oracle On Downgraded Legacy Encryption

Errore correlato

“Questo server ha il protocollo SSLv3 abilitato ed è vulnerabile all’attacco Poodle (SSLv3). Disabilita SSLv3 sul server.”

Problema

Nel 2014, i ricercatori Google hanno scoperto una vulnerabilità nel protocollo SSL 3.0 e hanno nominato la vulnerabilità "POODLE” (Padding Oracle On Downgrading Legacy Encryption).

Anche se il protocollo SSL 3.0 è abilitato, MITM (man-in-middle) può intercettare i collegamenti crittografati e calcolare il testo comune delle connessioni intercettate.

Le vulnerabilità/i difetti di sicurezza SSL 3.0 sono:

  • Integrità del messaggio insicura.

  • Vulnerabilità agli attacchi MITM.

Il modo più efficace è contrastare l’attacco POODLE è disabilitare il protocollo SSL 3.0.

Soluzione

Lato server

Disabilita il protocollo SSL 3.0 sul server e abilita TLS 1.2 o 1.3.

Lato client

Inoltre, DigiCert raccomanda la disabilitazione del protocollo SSL 3.0 e l’abilitazione dei protocolli TLS (1.2 o 1.3) sul lato client.