Attaque Poodle et SSL

En octobre 2014, Google découvre une faille SSL 3 : http://googleonlinesecurity.blogspot.fr/2014/10/this-poodle-bites-exploiting-ssl-30.html

SSL v3 a environ 10 ans mais est encore (pour des raisons de compatibilité) largement utilisé. Tous les navigateurs internet, en cas de soucis ou bug du serveur https, "descendent" vers des protocoles de plus en plus anciens.

Google Chrome et les srv Google utilisent TLS_FALLBACK_SCSV depuis février. Chrome ne redescent plus vers SSL v3.

 

Gandi propose des certificats SHA2.

Google a annoncé qu'il donnerait un "bonus de recherche" aux sites protégés par de tels certificats.

Plus sur le web

Outils de sécurité à https://www.ssllabs.com/ssltest/analyze.html

sur SHA2