SSL v3 addio. L’IETF formalizza l’abbandono del protocollo

L'Internet Engineering Task Force formalizza l'abbandono del protocollo SSL v3 definito "irrecuperabile" a causa di una serie di criticità

SSL v3 si avvia al pensionamento

E’ tempo di abbandonare il protocollo SSL v3: ad ufficializzare il pensionamento del Secure Sockets Layer è la stessa Internet Engineering Task Force (IETF), l’ONG che si occupa di redigere e promuovere standard per la Rete, nello specifico in materia dei protocolli alla base di quest’ultima, ovvero TCP ed IP. Il contenuto dell’RFC (request for comment, una sorta di memorandum) “Deprecating Secure Sockets Layer Version 3” reso noto in questi giorni avvia di fatto la dismissione del protocollo:

“La versione 3 del Secure Sockets Layer (SSLv3), come specificato nell’RFC 6101, non è sufficientemente sicura. Con questo documento si richiede di non utilizzare SSLv3. La versioni pù recenti, nello specifico il Transport Layer Security (TLS) versione 1.2, sono considerabili come protocolli più sicuri e idonei [a svolgere tale compito].”

Nel memorandum l’IETF ha inoltre colto l’occasione per citare alcune delle problematiche che SSL si trascina da circa un ventennio, a partire dal record layer “irrecuperabile” (broken) fino alla vulnerabile procedura di scambio della chiave crittografica (key exchange) in fase di rinegoziazione o ripresa di una sessione, senza dimenticare l’impossibilità di implementare alcune delle funzionalità per la sicurezza introdotte con TLS e l’utilizzo, da parte di SSL v3, del criticato Secure Hash Algorithm 1 (SHA1) – una funzione crittografica di Hash sviluppata dall’NSA ma ritenuta dagli addetti ai lavori non sicura (l’anno era il 2005); tutte le agenzie statunitensi sono dovute obbligatoriamente passare alla versione successiva (SHA2) dal 201o in poi.

Solo negli ultimi dodici mesi sono state scoperte nel protocollo Secure Sockets Layer (incluso il successore TLS) diverse falle, tra le più note (quelle che hanno avuto la “fortuna” di essere riprese dalla stampa specializzata) citiamo POODLE, FREAK e BEAST.

 

 

 

Facci sapere cosa ne pensi!

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *