Уважаемые клиенты!

На прошлой неделе была обнародована информация об уязвимости в протоколе
шифрования SSL версии 3 под кодовым названием POODLE (Padding Oracle On
Downgraded Legacy Encryption, CVE-2014-3566). Для ее эксплуатации
злоумышленнику требуется успешно выполнить против клиента одновременно
несколько серьезных атак, что значительно сужает возможную область
применения, поэтому уязвимость отнесена к среднему уровню критичности. В
случае успеха злоумышленник получает возможность прочитать фрагменты
информации, зашифрованной по протоколу SSLv3.

Обращаем Ваше внимание, что SSLv3 является очень старой версией
протокола, тем не менее многие приложения поддерживают его и используют
в случаях, когда недоступны более совершенные варианты (например, TLS
версии 1.2). Важно, что при наличии полного контроля над каналом
передачи данных, злоумышленник может попытаться искусственно вызвать
ситуацию недоступности современных протоколов шифрования, тем самым
повышая риск утечки передаваемой информации. Со стороны АПК Ассист были
оперативно предприняты меры, исключающие возможность эксплуатации
уязвимости POODLE. Однако, учитывая другие недостатки устаревшего
протокола SSLv3, его более нельзя считать безопасным и необходимо
отключить в пользу семейства криптографических протоколов TLS.

Для рядовых пользователей отключение SSLv3 приведет к невозможности
проведения оплаты из версий веб-браузеров, выпущенных более 8 лет назад
(Internet Explorer версии 6 и ниже, Opera версии 4 и ниже),
использование которых само по себе представляет гораздо большую угрозу
безопасности, чем уязвимость в SSL. Браузеры Firefox, Chrome и Safari
поддерживают более современные протоколы шифрования с момента своего
первого публичного выпуска.

Взаимодействие с веб-сервисами системы АПК Ассист также происходит по
протоколам шифрования SSL/TLS, поэтому после отключения SSLv3 некоторые
устаревшие программные клиенты *могут потерять возможность осуществления
запросов к АПК Ассист.* В целях предотвращения этой ситуации мы
объявляем о начале переходного периода, в течение которого запросы к
веб-сервисам АПК Ассист от программных клиентов, поддерживающих только
устаревший протокол SSL версии 3, будут фиксироваться отдельно от
остальных, а информация об этих фактах будет передаваться
соответствующим предприятиям в форме персональных уведомлений по
электронной почте.

*Полное отключение протокола SSLv3 на стороне веб-сервисов системы АПК
Ассист состоится во вторник, 28 октября в 14:00.* Для технических
специалистов, желающих произвести предварительную проверку совместимости
своих программных клиентов с новыми настройками безопасности и
протоколом шифрования TLS, подготовлен адрес —
https://test.paysecure.ru, успешный запрос к нему можно осуществить
только с использованием протоколов шифрования TLSv1.2, TLSv1.1 и TLSv1.0.

В случае возникновения каких-либо вопросов, пожалуйста, обращайтесь в
нашу службу технической поддержки.