I. Descrição

Foi recentemente divulgada uma vulnerabilidade nos protocolos SSL/TLS. Esta vulnerabilidade, que é explorada através do mecanismo de renegociação do SSL/TLS, permite a um atacante remoto e não autenticado o acesso ilegítimo aos dados cifrados através de uma técnica conhecida como "Man in the middle" (homem no meio), que na prática consiste na intercepção do tráfego entre um cliente e um servidor, sendo possível ao atacante o visionamento dos dados trocados através da rede.

Existem relatos de que esta vulnerabilidade já foi explorada com sucesso na autênticação de clientes baseada em certificados no HTTPS (Apache e Microsoft IIS), sendo possível que surjam novos vectores de ataque num futuro próximo .

II. Solução

O OpenSSL disponibilizou uma actualização de segurança que permite mitigar esta vulnerabilidade. Esta actualização de segurança não resolve a vulnerabilidade no protocolo, apenas desactiva o mecanismo de renegociação do SSL/TLS pelo que deve ser aplicada com cuidado uma vez que existe a probabilidade de perda de funcionalidades nos serviços existentes. Caso seja necessária a existência do mecanismo de renegociação do SSL/TLS esta actualização de segurança não deve ser aplicada, ou deve ser exaustivamente testada antes de ser aplicada. Esta actualização de segurança está disponível em http://www.openssl.org/source/.

Para outras implementações do SSL/TLS recomenda-se, sempre que possível, a desactivação do mecanismo de renegociação, que permite mitigar a vulnerabilidade agora anunciada.

III. Referências

Renegotiating TLS
http://extendedsubset.com/?p=8

[IETF] TLS renegotiation issue
http://www.ietf.org/mail-archive/web/tls/current/msg03948.html

TLS Man-in-the-middle on renegotiation vulnerability made public
http://isc.sans.org/diary.html?storyid=7534

OpenSSL - OpenSSL 0.9.8l is now available, including important big fixes
http://www.openssl.org/source/