Vážená uživatelko, vážený uživateli is.muni.cz,
krátké shrnutí této zprávy: Zkuste si prosím ze všech prohlížečů, které používáte pro přístup do ISu, kliknout na:
https://odevzdej.cz/ssltest
Pokud uvidíte zelené:
Váš prohlížeč pracuje správně.
nemusíte dále číst.
Nedávno byla zveřejněna informace o potenciálně zneužitelném protokolu SSL.
Pokud klikáte v ISu, je komunikace mezi vámi a ISem chráněna šifrováním. Kdyby někdo vaši komunikaci odposlouchával, nebude jí rozumět. Šifrování se použije vždy, když adresa v internetu začíná https://..., nikoli http://...
Pro šifrování se použije buď novější protokol TLS nebo starší protokol SSL. Server s vaším prohlížečem se vždy napřed domlouvají na tom, který protokol použijí. Moderní prohlížeče preferují novější protokol TLS. Protokol SSL je starý téměř 15 let.
Pracovníci Google objevili možný způsob, jak zneužít komunikaci protokolem SSL k uhádnutí vaší tzv. cookie, což může vést ke zneužití přihlašovacích údajů apod. Útok na přihlašovací údaje je však komplikovaný a není se třeba obávat, že by k němu již u kohokoli došlo.
Preventivním opatřením je zákaz použití protokolu SSL. Pokud alespoň jeden z komunikujících partnerů SSL nepodporuje, nemůže ke zneužití dojít. Proto IS začátkem listopadu vypne SSL a dovolí tak šifrovat pouze protokolem TLS.
Uživatelé moderních prohlížečů tuto změnu nepocítí. Uživatelé starých prohlížečů většinou musí povolit používání např. protokolu TLSv1 a zakázat protokoly SSL. Nebo provést upgrade prohlížeče.
Po publikování zprávy o zranitelnosti jsme v ISu zapnuli zaznamenávání použitého typu šifrovacího protokolu přihlášenými uživateli. E-mailem jsme za poslední týden informovali již 800 uživatelů, že stále starý protokol k autentizovanému přístupu do ISu použili.
Případné dotazy lze pokládat v tematickém diskusním fóru Zranitelnost protokolu SSL: Poodlebleed.
Tato zranitelnost byla pojmenována jako Poodlebleed (Padding Oracle On Downgraded Legacy Encryption) a další informace můžete nalézt zde:
Michal Brandejs
za IS MU
