Οι χρήστες που χρησιμοποιούν το πρωτόκολλο SSL 3.0 δεν θα μπορούν πλέον να το χρησιμοποιήσουν μέσω του Google Chrome στην έκδοση 40.
Η αλλαγή αυτή έρχεται ύστερα από την επίθεση POODLE (Padding Oracle on Downgraded Legacy Encryption) που υποβαθμίζει μια σύνδεση HTTPS όπως TLS 1.2 στην εσφαλμένη SSL 3.0, η οποία επιτρέπει την εξαγωγή ευαίσθητων πληροφοριών.
Η εκμετάλλευση του SSL 3.0 επιτυγχάνεται με τη χρήση σφαλμάτων επικοινωνίας του δικτύου, η οποία θα κάνει το διακομιστή να υποθέσει ότι χρησιμοποιείται μια νεότερη έκδοση του πρωτόκολλου κρυπτογράφησης, η οποία δεν υποστηρίζεται από τον client, με αποτέλεσμα να προσπαθεί να χρησιμοποιήσει λιγότερο ασφαλείς εκδόσεις του πρωτοκόλλου.
Ο Adam Langley, μηχανικός ασφάλειας της Google, δημοσίευσε μια ενημέρωση την Πέμπτη, λέγοντας ότι η επόμενη έκδοση του Google Chrome θα έχει την επιλογή ενεργοποίησης του πρωτόκολλου SSL 3.0 (το οποίο θα είναι απενεργοποιημένο από προεπιλογή). Ως αποτέλεσμα αυτού, ορισμένοι διακομιστές μπορεί να σταματήσουν να λειτουργούν, αλλά και οι ιστοσελίδες που υποστηρίζουν μόνο SSL 3.0 θα συνεχίσουν να λειτουργούν, μέχρι να κυκλοφορήσει η επόμενη σταθερή έκδοση του Chrome.
Στον Chrome 39, κάθε φορά που προκύπτει μια σύνδεση HTTPS που χρησιμοποιεί SSL 3.0, εμφανίζεται μια ειδοποίηση με τη μορφή ενός κίτρινου λουκέτου στη γραμμή διεύθυνσης, σηματοδοτώντας το δυνητικό κίνδυνο διαρροής εμπιστευτικών δεδομένων. Όλες οι ιστοσελίδες θα πρέπει να ενημερωθούν ώστε να δέχονται το TLS 1.0 ως το νεότερο πρωτόκολλο για τις κρυπτογραφημένες συνδέσεις.
