La organización IETF considera SSLv3 oficialmente obsoleto y no se recomienda su uso

Escrito por Sergio De Luz
Redes
0

El protocolo criptográfico SSL apareció hace un par de décadas, aunque la versión 1.0 nunca se publicó debido a que tenía graves problemas, la versión 2.0 de dicho protocolo fue presentada en 1995, pero poco tiempo después lanzaron SSL 3.0 debido a los fallos de seguridad encontrados. Ahora SSLv3 también se ha considerado oficialmente obsoleto por la IETF.

La organización Internet Engineering Task Force (IETF) que se encarga de hacer de Internet un lugar mejor, ha decidido a través del RFC 7568 que el protocolo SSLv3 especificado en la RFC 6101 no es suficientemente seguro por lo que se considera oficialmente obsoleto. Se recomienda que no se siga utilizando si de verdad queremos que nuestras comunicaciones sean seguras. Para poder proporcionar seguridad y privacidad en las comunicaciones, se recomienda utilizar el protocolo Transport Layer Security 1.2 (TLS 1.2) que es considerablemente más seguro y más compatible con todos los protocolos que existen actualmente.

Aunque ya se sabía que el uso de SSLv3 no era recomendado utilizarlo en servidores web, es ahora cuando la IETF lo ha hecho de forma oficial. Con las vulnerabilidades que han aparecido últimamente como Heartbleed y POODLE en SSL/TLS, que se retire SSLv3 que es un protocolo no seguro es una grandísima noticia.

Si eres administrador de sistemas y aún no has deshabilitado el soporte SSLv3 en tu servidor web, hazlo ya para proteger al máximo a tus clientes. Aunque de manera predeterminada siempre se selecciona el protocolo más seguro, si hay un usuario malintencionado “escuchando”, podría forzar a que se conecten vía SSLv3 en lugar de TLS 1.2 y de esta manera ser más fácil el robo de información.

En la página web disablesslv3.com tenéis toda la información sobre por qué no debemos utilizar este protocolo que ya es obsoleto oficialmente por la IETF. Además tenéis manuales tanto para usuarios como para administradores de sistemas para no permitir el acceso a webs vía SSLv3.

El nuevo Firefox 39 retira el soporte para SSLv3

Esta semana se lanzó la nueva versión del navegador Mozilla Firefox 39, en esta nueva versión una de los principales cambios ha sido la retirada del soporte para el protocolo SSLv3 tal y como podéis ver en su changelog oficial. Además también han retirado el protocolo RC4 excepto en aquellas webs que tengamos como páginas de confianza donde podremos seguir utilizándolo, no obstante se recomienda no utilizarlo si nuestra privacidad y seguridad nos preocupa de verdad.


Últimos análisis

Valoración RZ
10
Valoración RZ
7
Valoración RZ
9
Valoración RZ
10
Valoración RZ
8
Valoración RZ
10
Valoración RZ
9
Valoración RZ
9
Valoración RZ
10