IETF fraråder brug af SSL 3

Artiklen blev oprindeligt publiceret den 26/6/2015

Nu er det officielt: IETF (Internet Engineering Task Force) fraråder udtrykkeligt, at man anvender SSL (Secure Sockets Layer) version 3.0 til kryptering af data.

Dokumentet RFC 7568, Deprecating Secure Sockets Layer Version 3.0, siger det klart: ”SSLv3 MUST NOT be used.”

Der er tidligere fundet flere sikkerhedshuller i version 3 af SSL. Seneste var det sårbarheden POODLE (Padding Oracle On Downgraded Legacy Encryption).

Den forældede version er for længst afløst af TLS (Transport Layer Security). Retningslinjerne siger nu, at en TLS-implementering ikke må foreslå kommunikation over SSL 3.

”Enhver version af TLS er mere sikker end SSL 3, skønt den seneste version er at foretrække,” skriver IETF videre.

Anbefaling
Fjern SSL 3 fra alle systemer.

Links