El cambio que afecta a Google Chrome desde la versión 39 viene motivado por el recientemente descubierto ataque POODLE, que fuerza un downgrade de conexiones seguras HTTPS como TLS 1.2 hacia SSL 3.0. Este downgrade permite a los atacantes conseguir información sensible durante una sesión de navegación. Para provocar la entrada en SSL 3.0, se fuerzan ciertos errores en la comunicación de red, lo que lleva al servidor a actuar como si la versión (superior) del protocolo criptográfico no fuese soportada y, de esta forma, se provoca el reintento con versiones anteriores del protocolo, menos seguras, que ponen en riesgo al usuario que es atacado de esta forma.
Por ese motivo, según ha anunciado Adam Langley, ingeniero de seguridad de la compañía de Mountain View, Google Chrome en su versión 39 tendrá deshabilitado por defecto el protocolo SSL 3.0. Con esta medida, se espera que algunos servidores dejen de funcionar correctamente por este tipo de errores, aunque los sólo compatibles con el protocolo SSL 3.0 se mantendrán con normal funcionamiento hasta el lanzamiento de una nueva versión del navegador Google Chrome.
Según han informado desde Google, las conexiones HTTPS sobre el protocolo SSL 3.0 serán señalizadas al usuario durante la navegación como “conexiones de riesgo”, puesto que este tipo de conexiones podrían derivar, explican, en el robo de información almacenada en nuestros ordenadores. Avisan, por otra parte, de que todos los servidores deberían ser actualizados para aceptar el protocolo TLS 1.0 como mínimo para las conexiones encriptadas.
Evidentemente, este problema no afecta sólo a los usuarios de Google Chrome, sino también a los de Firefox, que ya han recibido una extensión para aumentar la seguridad, y a los usuarios de Internet Explorer de Microsoft, compañía que ya se ha encargado de lanzar su propia herramienta para deshabilitar el protocolo en su navegador web.
