La più recente versione del browser di Google – Chrome 39 -, da poco rilasciata ufficialmente, offre due importanti novità.
Dopo aver rilasciato, a fine agosto, la versione a 64 bit di Chrome per Windows (Chrome a 64 bit e fonts più definite nella 37esima release), Google effettua un’analoga operazione anche nel caso dei sistemi Mac OS X.
Così, i possessori di sistemi Mac basati almeno su processore Intel Core 2 Duo potranno installare la release a 64 bit di Chrome. Chi invece dispone ancora dellla primissima generazione di Mac con CPU Intel non potrà installare la versione a 64 bit ma dovrà rimanere con Google 38 a 32 bit.
Per installare Chrome 39, è inoltre necessario avere installato Mac OS X 10.6.x o release successive.
Chrome 39 disabilita l’utilizzo della versione più insicura del protocollo SSL
Come promesso alcune settimane fa, con il lancio di Chrome 39, Google ha deciso di disabilitare, in maniera predefinita, il supporto per l’utilizzo del protocollo SSLv3.
Provando ad accedere a siti web che ancora utilizzano il protocollo SSLv3 per rendere sicure le comunicazioni tra client e server (e viceversa), d’ora in avanti la connessione non sarà più possibile e si riceverà un messaggio d’errore.
Quando ci si collega ad un sito web utilizzando HTTPS, la cifratura dei dati può avvenire utilizzando diversi protocolli. Nel caso in cui venisse utilizzato l’ormai obsoleto SSLv3, un aggressore remoto potrebbe porre in essere un attacco man-in-the-middle e riuscire ad intercettare le informazioni in transito.
Nell’articolo Disattivare SSL 3.0 e proteggere i dati personali dall’attacco POODLE abbiamo spiegato come funziona l’attacco POODLE e perché, di fatto, abbia messo definitivamente “fuori gioco” SSLv3.
Gli utenti di Chrome che avviassero il browser con l’opzione --ssl-version-min=tls1
possono adesso rimuoverla, una volta completato l’aggiornamento alla release 39.
Errori ERR_SSL_FALLBACK_BEYOND_MINIMUM_VERSION e ERR_SSL_PROTOCOL_ERROR con Chrome
Provando a visitare siti HTTPS che supportando, ad esempio, solo SSLv3, Chrome visualizzerà il messaggio d’errore La pagina web non è disponibile oppure Errore connessione SSL.
Cliccando sul link Dettagli, il codice d’errore mostrato sarà ERR_SSL_FALLBACK_BEYOND_MINIMUM_VERSION o ERR_SSL_PROTOCOL_ERROR.
In questi casi è bene comunicare il problema agli amministratori del sito che si sta visitando affinché aggiornino il server web per l’utilizzo del più sicuro protocollo TLS 1.2.
Se ci si trovasse nell’impellente necessità di accedere al sito web da Chrome si può avviare il browser di Google utilizzando l’opzione --ssl-version-fallback-min=ssl3
Così facendo il supporto ed il fallback su SSLv3 verranno riabilitati.
Questa misura dev’essere in ogni caso ritenuta temporanea e dev’essere eliminata prima possibile.
Per essere certi che Chrome stia utilizzando lo switch --ssl-version-fallback-min=ssl3
, è possibile digitare chrome://version
nella barra degli indirizzi.
Con il rilascio della versione 40 di Chrome, sarà possibile gestire l’utilizzo delle varie versioni dei protocolli SSL/TLS mediante la schermata chrome://flags
.