SSL v3 non è più sicuro. A sancirlo definitivamente, una nota della IETF (Internet Engineering Task Force), l'Ente che si occupa di redigere le specifiche dei protocolli della Rete. Il documento che in poche righe comunica questa decisione è la RFC 7568, una Request For Comments, pubblicata nel mese di giugno 2015 ed intitolata "Deprecating Secure Sockets Layer Version 3.0".
Il testo individua nel Transport Layer Security, in particolare la versione 1.2, un sostituto più idoneo nonché considerevolmente più sicuro. Nella stessa circostanza, l'IETF coglie l'occasione per definire alcune problematiche collaterali formulando, tra l'altro, espresso divieto di negoziare il passaggio a SSL v3 da qualunque versione di TLS. Proprio questo aspetto era stato alla base di molte vulnerabilità rilevate.
Senza considerare che ormai TLS ha già sostituito SSL in buona parte delle implementazioni, il messaggio riveste un carattere ufficiale in quanto emanato dall'organo di riferimento in materia - la IETF per l'appunto - ma non stupisce dato che negli ultimi mesi si sono moltiplicate le notizie di attacchi in grado di minare la sicurezza delle comunicazioni cifrate ed, in particolare, quelle basate su SSL v3.
A titolo di esempio, e a conferma delle attuali posizioni della IETF, si potrebbero citare alcuni attacchi basati su FREAK e POODLE dei quali si è data notizia qualche mese fa.
Via IETF RFC 7568