16800 Letture

Chrome 39 disattiva SSLv3 e diventa a 64 bit su Mac

La più recente versione del browser di Google - Chrome 39 -, da poco rilasciata ufficialmente, offre due importanti novità.
Dopo aver rilasciato, a fine agosto, la versione a 64 bit di Chrome per Windows (Chrome a 64 bit e fonts più definite nella 37esima release), Google effettua un'analoga operazione anche nel caso dei sistemi Mac OS X.

Così, i possessori di sistemi Mac basati almeno su processore Intel Core 2 Duo potranno installare la release a 64 bit di Chrome. Chi invece dispone ancora dellla primissima generazione di Mac con CPU Intel non potrà installare la versione a 64 bit ma dovrà rimanere con Google 38 a 32 bit.
Per installare Chrome 39, è inoltre necessario avere installato Mac OS X 10.6.x o release successive.


Chrome 39 disabilita l'utilizzo della versione più insicura del protocollo SSL

Come promesso alcune settimane fa, con il lancio di Chrome 39, Google ha deciso di disabilitare, in maniera predefinita, il supporto per l'utilizzo del protocollo SSLv3.
Provando ad accedere a siti web che ancora utilizzano il protocollo SSLv3 per rendere sicure le comunicazioni tra client e server (e viceversa), d'ora in avanti la connessione non sarà più possibile e si riceverà un messaggio d'errore.

Quando ci si collega ad un sito web utilizzando HTTPS, la cifratura dei dati può avvenire utilizzando diversi protocolli. Nel caso in cui venisse utilizzato l'ormai obsoleto SSLv3, un aggressore remoto potrebbe porre in essere un attacco man-in-the-middle e riuscire ad intercettare le informazioni in transito.

Nell'articolo Disattivare SSL 3.0 e proteggere i dati personali dall'attacco POODLE abbiamo spiegato come funziona l'attacco POODLE e perché, di fatto, abbia messo definitivamente "fuori gioco" SSLv3.


Gli utenti di Chrome che avviassero il browser con l'opzione --ssl-version-min=tls1 possono adesso rimuoverla, una volta completato l'aggiornamento alla release 39.

Errori ERR_SSL_FALLBACK_BEYOND_MINIMUM_VERSION e ERR_SSL_PROTOCOL_ERROR con Chrome

Provando a visitare siti HTTPS che supportando, ad esempio, solo SSLv3, Chrome visualizzerà il messaggio d'errore La pagina web non è disponibile oppure Errore connessione SSL.
Cliccando sul link Dettagli, il codice d'errore mostrato sarà ERR_SSL_FALLBACK_BEYOND_MINIMUM_VERSION o ERR_SSL_PROTOCOL_ERROR.

In questi casi è bene comunicare il problema agli amministratori del sito che si sta visitando affinché aggiornino il server web per l'utilizzo del più sicuro protocollo TLS 1.2.

Se ci si trovasse nell'impellente necessità di accedere al sito web da Chrome si può avviare il browser di Google utilizzando l'opzione --ssl-version-fallback-min=ssl3
Così facendo il supporto ed il fallback su SSLv3 verranno riabilitati.
Questa misura dev'essere in ogni caso ritenuta temporanea e dev'essere eliminata prima possibile.

Per essere certi che Chrome stia utilizzando lo switch --ssl-version-fallback-min=ssl3, è possibile digitare chrome://version nella barra degli indirizzi.

Con il rilascio della versione 40 di Chrome, sarà possibile gestire l'utilizzo delle varie versioni dei protocolli SSL/TLS mediante la schermata chrome://flags.

  1. Avatar
    Michele Nasi
    21/11/2014 12:33:06
    Ho aggiunto un chiarimento ed i passaggi da seguire anche in calce alla notizia.
  2. Avatar
    pinolo73
    21/11/2014 12:14:07
    Ok Michele, ho posto la domanda senza cercare su Google :lol: La risposta è qui https://groups.google.com/a/chromium.org/forum/#!msg/security-dev/Vnhy9aKM_l4/E0G5VPlb9B4J il protocollo SSLv3 è stato disabilitato in parte, solo nella versione 40 stable verrà disabilitato completamente. Ciao Pino
  3. Avatar
    pinolo73
    21/11/2014 12:07:59
    Ciao MIchele, ho aggiornato Chrome all'ultima versione al momento disponibile 39.0.2171.65 m (64-bit) ma il test sulla vulnerabilità in argomento qui http://www.ilsoftware.it/articoli.asp?tag=Disattivare-SSL-30-e-proteggere-i-dati-personali-dall-attacco-POODLE_11420 mi segnala ancora che "Your user agent is vulnerable. You should disable SSL 3." Per prova ho eseguito Chrome non dal collegamento dove prima usavo lo switch --ssl-version-min=tls1 e dopo aver cancellato i files temporanei. Sai il perchè? Grazie e ciao Pino
  4. Avatar
    Michele Nasi
    21/11/2014 11:57:54
    Buongiorno Augusto, come indicato nell'articolo, lato client tu puoi fare davvero ben poco. Il problema va segnalato agli amministratori di sistema del MIUR che debbono garantire pieno supporto al più sicuro protocollo TLSv1.2. Google ha deciso di indurre tutti coloro che ancora usano SSLv3 ad aggiornarsi; molto probabilmente, la disattivazione del supporto per SSLv3 sarà presto operata anche degli altri produttori di browser web. Leggi l'articolo sull'attacco POODLE e perché è importante abbandonare definitivamente SSL 3.0: http://www.ilsoftware.it/articoli.asp?t ... ODLE_11420 Per accedere temporaneamente ai server che ancora usano SSLv3 puoi avviare Chrome usando lo switch --ssl-version-fallback-min=ssl3 Così facendo riabiliterai il supporto ed il fallback su SSLv3. In ogni caso, deve essere ritenuta una misura temporanea, da rimuovere prima possibile.
  5. Avatar
    augusto.ferrari1
    21/11/2014 11:16:56
    utilizzo Chrome anche in ufficio (o meglio utilizzavo) Da quando ho l'aggiornamento non riesco più ad accedere sul portale SIDI del MIUR in quanto esce la scritta "PAGINA WEB NON DISPONIBILE" - "Codice di errore: ERR_SSL_FALLBACK_BEYOND_MINIMUM_VERSION" Che cosa posso fare?
Chrome 39 disattiva SSLv3 e diventa a 64 bit su Mac - IlSoftware.it