SSL V3.0 Güvenlik Açığı


SSL sertifkalı sitelerin güvenliklerinden şüphe etmemize neden olan güvenlik açığı tespitleri yaygınlaşmaya başlamıştır.  Bunlardan biride son zamanlarda gündemde olan SSL V3 güvenlik açığıdır. Bu açık nedeniyle tarayıcınızın Https:// olarak giriş yapılan SSL kullanan güvenli sitelerdeki  işlemlerde tarayıcınızın  SSL v3 desteğinden kaynaklı olarak tüm çerezlerinize ulaşılmasını ve bu sayede şifreli bağlantı ile veri alış-verişiniz ele geçirilebilir ve  şifrelerin daha kolay çözülebilmesine olanak sağlamaktadır.

SSL V3 desteği 15 yıllık bir geçmişi bulunan ve tespit edilen bu açıktan sonra artık askıya alınması ve kullanımı bırakılması gereken bir protokoldür.  Google araştırmacıları tarafından tespit edilen bu açık ile ilgili POODLE saldırısı ile (Padding Oracle On Downgraded Legacy Encryption) güvenli çerezler ele geçirilebilmekte şeklinde uyarıda bulunuldu. Bu güvenlik açığının önüne geçilebilmesi için Kullanıcı bazlı olarak tüm internet tarayıcılarınızdan SSL V3 özelliğini kapatmanız gerekmektedir. SSL V3 özelliğini kapatmak  için her tarayıcı üzerinde farklı ama basit işlemler yapmak yeterlidir.

Google Chrome üzerinde bu özelliği kapatmak için :

-İlk olarak Masaüstünüzde bulunan Chrome kısayoluna sağ tıklayarak özellikler bölümüne girmemiz gerekmektedir.

– Hedef satırında bulunan  “C:Program Files (x86)GoogleChromeApplicationchrome.exe”   bölümünün en sonuna boşluk bırakarak   —ssl-version-min=tls1   kodunu eklememiz yeterlidir. Yani Hedef bölümü  “C:Program Files (x86)GoogleChromeApplicationchrome.exe” –ssl-version-min=tls1   olması gerekmektedir. Kaydederken yönetici izni isteyebilir.

Chrome-SSLV3

Mozilla Firefox üzerinden SSL V3 özelliğini kapatmak için :

– Öncelikle Firefox tarayıcımızı açarak adres satırına “about:config” yazarak giriş yapmamız gerekmektedir.

– Gelen liste menüsünde arama ekranına “security.tls.version.min”  değerini yazarak aratmanız gerekmektedir.

–  “security.tls.version.min”  değeri 0 ise bunu üzerine 2 kez tıklayarak 1 olarak değiştirip kaydetmemiz yeterlidir.

Firefox-SSLV3

İnternet Explorer üzerinde SSLV3 özelliğini kapatmak için :

– Öncelikle Explorer tarayıcımızı açarak Ayarlar menüsünden İnternet Seçeneklerine girmemiz gerekmektedir.

– Karşımıza gelen explorer ayarları menüsünden Gelişmiş sekmesine girerek karşımıza gelen listeden SSL V3.0 Kullan seçeneğindeki işareti kaldırmamız yeterlidir.

Explorer-SSLV3

Son dönemlerde büyük hosting firmaları tarafından bu güvenlik açığı sunucular üzerinde kapatılarak SSL V3 desteği  devre dışı bırakılmıştır. Natro üzerinde bulunan tüm hosting sunucuları için bu düzenleme sağlanmıştır. Ancak internet üzerinden online alış veriş yapan biri iseniz bu düzenlemeleri yapmanızı tavsiye ederiz.  Farklı firmalarda çalışan siteler yada sunucu yöneticileri tarafından bu güncellemeler yapılmamış olmasına karşın kendi işlemlerinizi güvende tutmak için bu uyarıları dikkate almanız tavsiye edilir.


Natro Blog
Türkiye - İstanbul Merkezli natro.com; 1999 yılından bu yana Alan adı servisleri, web Hosting, sunucu kiralama ve barındırma, Güvenlik çözümleri gibi ürünlerle uluslararası web hosting sektöründe hizmet vermektedir.

3 Comments

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir