Google descubrió la vulnerabilidad de POODLE en octubre de 2014 y, a diferencia de Heartbleed, tenía una solución simple: simplemente deshabilite SSL v3. Ahora, la mayoría de los sitios web han deshabilitado SSL v3 pero, irónicamente, es Google que todavía lo admite. ¿Alguna idea de por qué Google todavía admite SSL v3?
Probé el nombre de dominio en un sitio web de prueba de POODLE y muestra que Google sigue siendo vulnerable a él. ¿Alguna idea chicos?
Google promueve y, supuestamente, implementa TLS Fallback SCSV , por el cual el cliente y el servidor se aseguran de que ambos apoyan TLS 1.0 o posterior, no utilizarán SSL 3.0; con esa extensión activa, un atacante no puede (por lo que sabemos) forzar una degradación del protocolo.
Bajo estas condiciones, si se usa SSL 3.0 al acceder al servidor de Google, esto será solo si el cliente realmente no puede hacerlo mejor, y, posiblemente, un SSL 3.0 cangeable, aunque débil, todavía es mucho mejor que ningún SSL en absoluto.
Por supuesto, se puede argumentar que rechazar a los clientes que solo saben SSL 3.0 podría obligar a estos clientes a finalmente actualizar sus navegadores, y eso haría que todo fuera un mundo mejor. Pero esto también puede irritar a los propietarios de dichos navegadores obsoletos, y enojar a los clientes es, en general, una mala práctica empresarial.
Lea otras preguntas en las etiquetas vulnerability tls google