ααα αααααααΆαααααααΆα ααααΎ HTTPSα αΎαα
ααα½ααααααα½ααααααα»αααΎαα‘αΎαααΆααααΆααα αα·ααΈααΆαααΆαααααααα αΆαα·αααααααΆαααααΆααα
αΆααα
ααΆα
ααα ααα»αααααα·ααα»αααααΆααααΆαααα»ααααααΆααααα αΆαααααααααα ααΎαααΉααα·ααΆαα’αααΈαα½αααΆαα½αα
ααα½α - POODLE, BEAST, DROWN αα·ααααααααα - αα·ααα·ααΈααΆαααααααααΆαααΆαααΆααα
αααα»ααααααΆααααααααΎαα
/flickr/ ααα Sven Graeme / CC BY-SA
POODLE
ααΆααΎαααααΌαα’αααΈααΆαααΆααααα αΆα POODLE ααααΌαααΆαααααααΆαααα
ααααΆα 2014 α ααΆαααΆαααααααααα
αααα»ααα·ααΈααΆα SSL 3.0 ααααΌαααΆαααααΎααααα’αααα―αααααα»ααααα·ααΆαααααααΆα Bodo MΓΆller αα·ααα ααΆααΈααΈ Google α
ααααΉαααΆαααααααΆααΆαααΌα
ααΆααααααα α ααααααααααα’αα·αα·ααα±ααααααΆααααΆαααα SSL 3.0 αααααααΆααααΆαααΆααααααααΆααααααΆααα αααααΆααααααΆααααααααα
αααα»αααΆαα’αα·αααααΈα ααααααααΆαα·ααΆααααααααααααα»ααΆ- ααααα
ααΆα
αααααΆαααααΆααα·αααα αααααααΎααααΎαααααααααΆαααΆα
αααΎα α’αααααΆααααα αΆαα’αΆα
αααααΎαα‘αΎααα·αααΌαααααΉαααΆααααα·αααααααααα
αΆααα’αΆαααααα ααΌα
ααΆααΌααΈααΆααΎαα
SSL 3.0 ααΊααΆαα·ααΈααΆαα α½αααααα ααα»ααααβαααα½αβα’αααΈβαα»ααααα·ααΆαβααααβααΆααβαα
βααβααΆαααααααα α’αα·αα·ααααααΎααΆααΎααααΈαααααΆααααα αΆααΆαααααααΆααΆαα½ααααΆαααΈαααα αααααΆααα·αααααααα½αα
ααα½αααααΎααα 7% ααααα αααααααααα·αααααα»α 100 ααΆαα αα
ααααΆαααα SSL 3.0α ααααα ααΆαα ααΆααααααααα
POODLE ααααααααααααα
TLS 1.0 αα·α TLS 1.1 ααααΎαααΆααα»αα ααααΆαβααα ααΆααααα αΆααααα½α ααΆαααΆααααα αΆαααααΈαααα Zombie POODLE αα·α GOLDENDOODLE αααααααααΆααααΆαααΆαααΆα TLS 1.2 (αα½αααΆαα
ααααΆααααΆααααααΉαααΆαα’αα·αααααΈα CBC)α
αα·ααΈααΆαααΆααααα½αα’αααα αααα»αααααΈ POODLE ααΎα α’αααααααΌααα·αααΆαααΆαααα SSL 3.0 α ααααααΆαααΆααααααααα»αααααΈαααααΆαα αΆαα·ααααααααα αΆααααΆαααααααΆα αααααααααΆααααα½αα’αΆα
ααΆααααααΆα TLS_FALLBACK_SCSV - ααΆααΆααΆααΆααΆαααααΆααααααΌααα·ααααααααΆαααα SSL 3.0 ααΉαααααΌαααΆαα’αα»ααααααααΆαα½αααααααααα
αΆαααααα»αααααα α’αααααΆααααα αΆαααΉααα·αα’αΆα
α
αΆααααααΎαααΆααααααΆαααααΆαααα·ααΈααΆαααααα αα·ααΈαα½αααΎααααΈααΆαααΆααααααΆααααΉα Zombie POODLE αα·α GOLDENDOODLE ααΊααΎααααΈαα·αααΆαααΆαααα CBC αα
αααα»ααααααα·ααΈαααααΆαααΌαααααΆαααΎ TLS 1.2 α αααααααααΆαααΆααΉαααΆααΆαααααΆααααααΌααα
TLS 1.3 - ααααααααΈαααα·ααΈααΆααα·αααααΎααΆαα’αα·αααααΈα CBC ααα αααα»ααα
αα·α AES αα·α ChaCha20 ααααΎααααΆααααΆαααΌαααΆααα»αα
ααααααααα
ααΆαααΆααααα αΆαααααΌααααα’αααα½αααΎ SSL αα·α TLS 1.0 ααααΌαααΆαααααΎααααα»αααααΆα 2011α ααΌα
ααΆ POODLE, BEAST ααΆαααααΎααααΆαα αααααααα·αααααααΆαα’αα·αααααΈα CBC α α’αααααΆααααα αΆαααα‘αΎαααααΆααααΆα JavaScript α¬ Java applet αα
ααΎαααΆαααΈαααααα ααααααα½αααΆααα
ααααααααΌααα·ααααααααΆα TLS α¬ SSL α α
αΆααααΆααααΈα’αααααΆααααα αΆαααΉαααΈααααΉαααΆααααααα
ααααααααΆα "α’ααα
ααααα" αα½αααα’αΆα
ααααΎαα½αααΆααΎααααΈαα·ααααΈαααα·α
αααα
αΆααααααΎα αα·αα’αΆαααΆααααααααααα
ααΆαααααΆαααΈααα ααΌα
ααΆααΌααΈααΆααααααααααΆααααΆααΎαα
αααααααααααα ααΆαααΆαααααααααααα BEAST αα
ααααΆα α§ααααααααααΆααα½αα
ααα½αααΆααααααααα αααΆαααΈαααααααΌααααΈ αα·ααααααα·ααΈαααααΆααααΆαααΆαα
αααααααΌαα’ααΈαααΊαα·ααααα»ααααα»αα
αα·ααΈααΆαααΆααααα½αα’αααα α’αααααΆααααα αΆαααααΌαααααΎααααΎααΆαααα
αΆα ααΎααααΈαα·ααααΈααα·ααααααα αα
αααα»α VMware ααΌααααααα’αα»ααΆααα ααΆααααααααααααααα SSLSessionCacheTimeout ααΈααααΆαααΆααΈ (ααΆαααααΆαααααΆαααΎα) αα
30 αα·ααΆααΈα αα·ααΈααΆααααααααααΉαααααΎα±ααααΆααΆααααααααΆααααααΆααα’αααααΆααααα αΆααααα»αααΆαα’αα»αααααααααΆααααααα½ααα αααααΈααΆααΆααΉαααΆααααααααΆααα’αα·αααααΆααα½αα
ααα½αααΎααΆαα’αα»αααααααααα ααΎαααΈααα α’αααααααΌααααααΆ ααΆαααΆαααααααααααα BEAST α’αΆα
ααΉαααααΆααα
ααΆααΏαα’ααΈαααΆαααΆααααααααααααα½αα―α - α
αΆααααΆααααΈααααΆα 2020 αααααΆαααααα·ααΈαα»ααααααααα»α ααα ααΆαααΆαααααααααΆαα TLS 1.0 αα·α 1.1 α αααα»αααααΈααΆααααα αα·α
ααΆα 1,5% ααα’αααααααΎααααΆαααααααα·ααΈαα»αααααΆαα’ααΈαααΊαα·αααΆααα’ααααααΎααΆαααΆαα½ααα·ααΈααΆαααΆαααααα
ααα
αααααΊααΆααΆαααΆααααα αΆααααααα·ααΈααΆααααααΆαααααα α»ααααα»αααΆαα’αα»αααα SSLv2 ααΆαα½αααΉαααααΆααα
α»α
RSA 40 αααΈαα α’αααααΆααααα αΆαααααΆααααΆαααααΆαα TLS ααΆααααααααααα
α αΎαααααΎαααα
αααα·ααααα
αααΆαααΈααα SSLv2 αααααααΎααα―αααααΌα
ααααΆα ααΆαααααΎααααΆαα ααΆαααΆααααα αΆααααα Bleichenbacherα αααααα’αΆα
αα·ααααΈααα½ααααα»αα
ααααα’αα·αα·αα TLS αααα αααα½αααΆααααααα
DROWN ααααΌαααΆαααααααΆααααΆααΎαααααΌααααα»αααααΆα 2016 - αααααΆααααααΆααΆαααααααααΆα αα½αααΆαααΈαααααΆαααΈαααααααΌαααΆααααααΆαα αα
βααΎβαα·αααααα αααααααααααααΆαα·αααΆαααααααΆαααΆαααααααααααααΆααα αααα»αα
αααα 150 ααα αααααααααα·αααααα»α 2% αα
ααααΆα ααΆαααα SSLv2 αα·αααααααΆαα’αα·αααααΈααααααΆααααααααα
αα·ααΈααΆαααΆααααα½αα’αααα ααΆα
αΆαααΆα
ααααα»αααΆαααα‘αΎααααααααααααΎα‘αΎααααα’αααα’αα·αααααααααααΆαααααααΈαααααΈαααααα·αααΆαααΆαααα SSLv2 α α§ααΆα ααα ααααααααααα
ααα½αααΈαααααΌαααΆααααα αΆααααααΆαα OpenSSL (αααα»αααααΆα 2016 ααΆαααααααΊααΆαα
αα
α»ααααααααΆα 1.0.1s αα·α 1.0.2g)α ααΌα
ααααΆαααααααα αα
αα
α»ααααααααΆα αα·αααΆαααααΆααααααΆααααΆααα·ααα·ααΈααΆααααααΆααααααααααααΌαααΆαααααα»αααααααΆααα
αααα»α Red Hat, αααααα·ααΈ Apache, ααααα.
αααααΆααααααα’αα·ααααααααΆαααααααααΆααααΆ "ααααΆααα½αα’αΆα
ααΆααααααααααα DROWN ααααα·αααΎααααααααΆααααΌαααΆαααααΎααααααΆαααΈαααααΆααΈααΈααΈααΆαα½α SSLv2 ααΌα
ααΆαααΆαααΈαααα’ααΈααα" α α’ααααααααααααΆ IaaS 1cloud.ru ααα Sergei Belkin α β ααααΆαααΆααααααΎαα‘αΎαααααα·αααΎαααΆαααΈαααααΆα
αααΎαααααΎαα·ααααΆαααααα SSL ααΌαα
α αααα»αααααΈααα α’αααααααΌααα·αααΆαααΆαααα SSLv2 αα
ααΎαααΆαααΈαααΆααα’ααα"
α’αααα’αΆα
αα·αα·αααααΎαααΆααΎααααααααααααα’αααααααΌαααΆαααααΎαα
αα
α»ααααααααΆααααααααΎαα·αααα¬α’αα α§αααααααααΎααααΆαα - ααΆααααΌαααΆααααααΎαα‘αΎααααα’αααα―ααααααααα·αα»αααααααΆααααααΆαααααΎα DROWN α α’αααα’αΆα
α’αΆαααααααα’αααΈα’αα»ααΆαααααΆααααααΉαααΆαααΆαααΆααααααΆααααΉαααααααααααΆαααΆααααα αΆαααααα
αααα»α αααααΆααα
ααΎααα ααααα OpenSSL.
ααΌα
α
α·αααα
ααΆαααΆαααααααααααααα»ααα½ααα
αααα»ααααααα·ααΈααΊ ααΌα
α
α·αααα. ααΆααααΌαααΆαααααααΎααααα»αααααΆα 2014 αα
αααα»ααααααΆααα OpenSSL α αα
βαααβααβααΆαβαααααΆαβα’αααΈβααα α»αβα
ααα½αβααβααα αααααβαααβααΆαβααααααα ααααΌαααΆααααααΆααααααΆαααΆααΆαα
ααα½ααααααααΆα - αααααΊαααα αα 17% ααααααΆααααααααΌαααΆαααΆαααΆααα
ααΎαααααΆαα
ααΆαααΆααααα αΆαααααΌαααΆαα’αα»ααααααΆαααααααΌαα»αααααααααααα Heartbeat TLS ααΌα
αα½αα αα·ααΈααΆα TLS αααααΌαα±αααα·ααααααααααΌαααΆααααααΌαααΆαααααααααΆααα αααα»αααααΈααΆαααΆαααα’αΆαααΌα ααΆααααααΆαααΎαα‘αΎα α αΎαααΆααααααΆααααααΌααααααααΎαα‘αΎααα·αα ααΎααααΈβαααααααΆαβαααα αΆβααα αααΆαααΈαβαααααΎ αα·αβα’αα·αα·ααβαααααΎαβααα‘ααβααααΆαβαααβαα·αααα·αβααΆααα (RFC 6520 ααααα 5) ααΆααααααΌααααα
ααααααααααα
αααααα ααααα·αααΎααΆααααΆααααα
ααααααααΆαααΆααααΌα ααααααααααααΆααααααααααα’αααα
αα
αΆα OpenSSL α’αΆαααΎαααΈααα·ααααααα’αΆαααααααααΆαααααα»ααα»αα ααααααααα’αΆα
αααα»ααα·ααααααααΆαα½α αα½αααΆααααα’αα·αααααΈαα―ααα αα·αααααααΆαα’αααΈααΆααααααΆααααααααααα
ααΆαααΆαααααααααααααΆαααααααΆααα
αααα»ααααααααααααΆααα’αααααααααΆααααααΆα 1.0.1 αα·α 1.0.1f αα½αααΆαααα
αααα»αααααααααααααα·ααααα·ααΆααα½αα
ααα½αααααα - Ubuntu αα αΌαααα 12.04.4, CentOS α
αΆααααΆα 6.5, OpenBSD 5.3 αα·ααααααααααα ααΆααααααΈαααααα αα
ααΎααα ααααααααα§αααα·αααα Heartbleed. αααααΈααΆαααααααααΆααααΉαααΆαααΆαααααααααααααααΌαααΆαα
ααααααΆαααααΎαααααααΆαααααααΆααααΈααΆαααααΎαααααααΆααααα αααααα αΆαα
ααααΆαααΆααααΆαααααα αΌαααααααααααααααααα αααα‘αααααα·ααααα»αααααΆα 2017 ααααΎααα 200 ααΆααααααααααααΎααΆαααΆαααΉαααΎαααααΊαααααΌαα
αα·ααΈααΆαααΆααααα½αα’αααα ααΆα
αΆαααΆα
αααΆαα ααααΎαα
αα
α»ααααααααΆα OpenSSL αα αΌαααααααα 1.0.1g α¬αααααααΆααααα α’αααααα’αΆα
αα·αααΆαααααΎαα»αα
ααααΆαααααααΌαααααααααααααΎαααααΎα DOPENSSL_NO_HEARTBEATS α αααααΆααααΈααΆαα’αΆααααα α’αααα―αααααα»ααααα·ααΆαααααααΆα ααΌααααααα’αα»ααΆααα α
αααα·ααααΆαααααα SSL α‘αΎααα·αα ααΆααααα½αααΊα
αΆαααΆα
ααααα»αααααΈααααα·αααααααα
ααΎααα’αα·αααααΈααααα
αααα
αααα»ααααααααα½α Hacker α
ααΆααααα½ααα·ααααΆαααααα
ααααΆαααααααΆαααααααααααααααΆααα·ααααΆαααααα SSL ααααα
αααΆααααααΌαααΆαααα‘αΎααααΆαα’αααααααΎααααΆαα αα·ααααΆαααΈααα ααΆααΆααα
ααΆα
ααααααΆααααααα ααααΆααααααααααααααΎααΆαααΆαααΈαααααααα
αααΆααααααααα αΆααα·ααααΆαααααααααααΆααα»ααααΆα α αΎαααΆα’αΆα
ααααΎααΆαααΆααααα αΆα MITM α
αααααΎαααααΆα ααΆαααααΆαααααΆα αααα»αααααΈ Mozilla, Google αα·αααΆαααα·ααααΆααααα½αα
ααα½α αααα αα 11% ααααΆααααααΆαααα»ααααα·ααΆααα
ααΎαααααΆαααααΌαααΆααα½α
ααααΆααα αααααΊααΆααααααααααΆαααα‘αΎααα·ααααΆαααααα root αα½αα±αααααααααα
ααΎαα»αααααΌαααααααα’αααααααΎα
αα·ααΈααΆαααΆααααα½αα’αααα ααααΎααααΆαααααααα’αΆα
αα»αα
α·αααααΆαα α’ααααααααααααΆ SSL. α’αααα’αΆα
αα·αα·αααααΎα "αα»αααΆα" αααα·ααααΆαααααααααααααΎααααΆαααα αααααΆααΆααα·ααααΆααααααα (CT) α α’ααααααααααααΆαααααα’αΆα
αα½ααααα»αααΆαααααΎαααΆααα½α
ααααΆααααα αααα»αα αα»αααααα½αα
ααα½αααΆααααααα§αααααα―αααααααααΆαααααα½ααα·αα·αααααΆααααααΆαα TLS αα½α
α αΎαα
αα·ααΈααΆαααααααΆαααΆααα½αααααααααααΉαααΆαα·ααΈααααΈαα½α αααααααΆαα ACME αααααααΎααααααααααααα·ααααααΆαααα½ααα·ααααΆαααααα SSL α αααααΉαααΉαααα ααΆααΉαααααααααααααΆααααααα ααΎααααΈαααααααααΆααααα
αΆααααα αααααα αααααααααα’αααΈααΆα ααΎαααΆαααααααα
αααα»ααααααΆααααΈαα»αααααααΎαα.
/flickr/ ααΌααΈααΆαααΌααΈα‘αΌα / CC BY
ααααααα·ααααααααΆαα HTTPS
αααααΈααΆααΆαααΆαααΆαααααααααα½αα
ααα½αααααα αααααα»αα αα»ααααα IT αα·αα’αααααααΆαααααα·αα»αααααααΆαααΆααααα»αα
α·αααα
ααααα’ααΆαααααα·ααΈααΆααααα αααααΆααααΆαα’αα»ααααααααααα HTTPS α’αααααααΌααα· α’ααααααααΎα WWW ααα Tim Berners-Lee α ααααα
ααΆαααΆαα ααΌα α αα
TLS ααΉαααΆααααααΆααα»ααααα·ααΆα αααααΉαααααΎα±αααα»ααααα·ααΆαααααΆααααααΆααααΆαααααααααΎαα‘αΎαα Berners-Lee αααααΆααααΆαααααΎααΆαααααα ααΉαααα
α‘αΎαααΆαααα’ααΆαα αα·ααααΆααααααα’αα·αα·αααααααΆααααΆααααααααααΆααα’ααααααααΆαα αα½αααααΉααα½ααααααα’ααΆαααΆαααΆααααΆαααΈαααααΈα’αααααΆααααα αΆαα
ααΆααααααΌαααΆααααααααΉααααααΎααα
αα
αααα·ααααΆ SSL/TLS αααααααΎααΆαααααααΆαααΈαααααα - αααα½ααααααααΆαααααΆαααααΉαααα½ααα»αααααΌααααα»αααΆαααααα
ααΆα
ααααααΆααααα·αα’αΆαααααα ααΆαα½αααΉαααΆααααααΆαα HTTPS α’αααααααααααααα·αααΆααα·ααΈααΎααααΈαααααααααααΉαααΆαααααΆααααααΆαα’αα·αααααΈα αα½αααΆααααΆααααααααααααΎααΈααααααααααα αα½α
α αΎαααααααααααα αααααΆααααααααααΆαααΆααααααααΆααααα»αααΆααααααααα
ααααααααΆααααααΆααααααααααΆααααΆαα½αααΉαααΆαααααΉαααααΌα 90% α (ααααΆααααααα αΆα α’α£).
ααΆαααααΎα
ααΆαααΆααααα αΆαααΆαα
αααΎαααΎ HTTPS αα·αααΆααααααΉααααα αΆααΆαα½ααα·ααΈααΆααααα½αα―ααα ααα»ααααααΎααααΈααΆαααααααααααααΆαα’αα·αααααΈααααα α½αααααα α§ααααΆα αααα IT αααα»αα
αΆααααααΎαααααααα
ααααΆαααααΎααααΌααα·ααΈααΆαααααΆαααα»α αα·ααααααα§αααααααααΈαααααΆαααααααααααΆαααΆααααααααα αα
αααα’ααΆαα α§αααααααΆαααααααΉαααΆααααααααΆαααα
αααααααΆααααααααααΎαααααΆαααα
ααααα: www.habr.com