Jangan terlalu sibuk karena tidak sesulit kedengarannya. Yang benar adalah bahwa ini adalah masalah yang harus diperhatikan, tetapi ada langkah-langkah sederhana yang dapat Anda ambil untuk melindungi diri Anda sendiri.
Apa itu POODLE?
Mari mulai di lantai dasar. Apa itu POODLE? Pertama, itu singkatan dari “Padding Oracle On Downgrade Enkripsi Legacy.”Masalah keamanan adalah persis seperti apa namanya, downgrade protokol yang memungkinkan eksploit pada bentuk enkripsi yang ketinggalan jaman. Masalah ini menjadi perhatian dunia bulan ini ketika Google merilis sebuah makalah yang disebut "Ini POODLE Bites: Pemanfaatan The SSL 3.0 Fallback".
Untuk menjelaskan hal ini dengan lebih sederhana, jika penyerang yang menggunakan serangan Man-In-The-Middle dapat mengendalikan router di hotspot publik, mereka dapat memaksa browser Anda untuk downgrade ke SSL 3.0 (protokol yang lebih lama) daripada menggunakan jauh lebih modern TLS (Transport Layer Security), dan kemudian mengeksploitasi lubang keamanan di SSL untuk membajak sesi browser Anda. Karena masalah ini ada di protokol, semua yang menggunakan SSL terpengaruh.
Selama kedua server dan klien (browser web) mendukung SSL 3.0, penyerang dapat memaksa downgrade dalam protokol, sehingga bahkan jika browser Anda mencoba menggunakan TLS, akhirnya terpaksa menggunakan SSL. Satu-satunya jawaban adalah untuk kedua sisi atau kedua belah pihak untuk menghapus dukungan untuk SSL, menghapus kemungkinan diturunkannya peringkat.
Jika Anda hanya menjelajah dari rumah dan tidak menggunakan hotspot publik, potensi kerusakannya cukup rendah, dan Anda bisa mengambil langkah mudah yang dijelaskan nanti di artikel untuk melindungi diri Anda. Jika Anda sering menggunakan hotspot publik, mungkin sudah waktunya untuk berpikir tentang menggunakan VPN.
Bagaimana Kita Dapat Memecahkan Masalah?
Karena tidak ada cara untuk menyelesaikan masalah dengan SSL, satu-satunya solusi adalah bagi pembuat peramban dan server web untuk meningkatkan segalanya untuk menghapus dukungan untuk SSL dan hanya memerlukan enkripsi TLS.
Google dan Firefox telah mengumumkan bahwa mereka akan menghapus dukungan di masa mendatang, dan sementara kami belum (belum) mendengar hal yang sama dari Microsoft, sangat mudah sebagai pengguna akhir untuk menonaktifkan SSL 3.0 di IE. Sebagian besar perusahaan web besar menghapus dukungan untuk SSL setelah masalah ini terungkap, tetapi akan membutuhkan waktu beberapa saat bagi semua orang untuk melakukannya.
Sebagai konsumen, Anda dapat menghapus dukungan untuk SSL dari peramban Anda menggunakan salah satu metode yang diuraikan di bawah - atau jika Anda menggunakan Firefox atau Google Chrome dan tidak menggunakan hotspot sepanjang waktu, Anda dapat menunggu mereka memperbarui peramban. Atau Anda dapat memastikan bahwa Anda memperbaiki masalahnya sendiri.
Menonaktifkan SSL 3.0 di Mozilla Firefox
Jika Anda adalah pengguna Mozilla Firefox, kekhawatiran SSL 3.0 Anda akan diletakkan pada tanggal 25 November 2014 ketika Fireox 34 dirilis. Satu masalah dengan ini adalah ini belum November dan Anda perlu mengambil tindakan untuk melindungi diri Anda sekarang. Mulailah dengan membuka browser Firefox Anda dan menavigasi ke halaman unduhan Versi Pengunduhan SSL di Firefox.
Menonaktifkan SSL 3.0 di Google Chrome
Jika Anda pengguna Google Chrome, Anda dapat yakin bahwa SSL 3.0 akan dinonaktifkan dalam beberapa bulan mendatang, meskipun mereka belum menetapkan tanggal. Jika Anda ingin melindungi diri Anda sekarang, itu dapat dilakukan dengan beberapa langkah sederhana. Cukup buka ikon desktop Google Chrome Anda dan klik kanan padanya lalu pilih "Properties" di bagian bawah menu popup.
--ssl-version-min=tls1
Sekarang browser Anda akan secara otomatis menolak sertifikat SSL 3.0 dan hanya menerima TLS 1.0 dan lebih tinggi. Perlu diperhatikan bahwa jika Anda meluncurkan Chrome melalui pintasan lain di komputer Anda, itu tidak akan menggunakan bendera ini.
Menonaktifkan SSL 3.0 di Internet Explorer
Microsoft belum mengumumkan kapan mereka berencana untuk mengatasi masalah SSL 3.0 sehingga yang terbaik adalah menonaktifkannya sendiri dengan membuka menu "Start" dan mengetikkan "Opsi Internet."
Kredit Gambar: Karen on Flickr
