V komunikačním protokolu SSLv3 byla nalezena zranitelnost „POODLE” (Padding Oracle On Downgraded Legacy Encryption), umožňující útok typu Man in the Middle (MITM), při kterém může být dešifrován zachycený SSL provoz. Protokol SSLv3 je postupně nahrazován protokolem TLS 1.0. K vypínání protokolu SSLv3 v současnosti dochází u bankovních aplikací, internetových portálů (včetně Seznamu) apod.
Protokol SSLv3 využívá v současnosti jen malé procento uživatelů ISDS, přičemž dopady "POODLE" útoku jsou dostatečně závažné na to, aby mohly vést ke kompromitaci uživatele ISDS. Proto je obecně akceptované doporučení protokol SSLv3 na straně systému ISDS vypnout. Vlastní vypnutí je naplánováno ve dvou krocích. V prvním kroku bude 9.11.2014 provedeno v prostředí Veřejného testu (czebox.cz), aby bylo možné ověřit fungování této změny na aplikacích přistupujících k ISDS. Po té proběhne vypnutí tohoto protokolu na produkčním prostředí (mojedatovaschranka.cz). Po tomto kroku nebude možné na ISDS používat protokol SSLv3. Termín vypnutí protokolu na produkčním prostředí (mojedatovaschranka.cz) bude ještě upřesněn.
127.1 Re: Vypnutí protokolu SSLv3
admin 17.01.2017 11:36Upozornění pro vývojáře v PHP
Ukázkový příklad PHP klienta obsahuje řádek:
curl_setopt($this->ch, CURLOPT_SSLVERSION,3);Na testovacím prostředí (a v budoucnu i na produkčním) je třeba jej zakomentovat.
Jan Šíma
127.2 Re: Vypnutí protokolu SSLv3
admin 17.01.2017 11:36Termín vypnutí podpory protokolu SSLv3 na klientském portálu datových schránek (webová aplikace) je stanoven na 28.11.2014.
Pro aplikační rozhraní ISDS (webové služby) je termín posunut na 15.1.2015 - zejména proto, aby si dodavatelé aplikací mohli otestovat chování své aplikace a případně jí upravit.
Pavel Tesař