Das Google Security Team hat Details veröffentlicht, wie sich der Fallback auf SSL 3.0 bei verschlüsselten Verbindungen als Angriffsstelle nutzen lässt, genannt wird die Lücke POODLE. Viele Browser und Server unterstützen diese Fallback-Funktion, schlichtweg aus Kompatibilitätsgründen. Die einfachste Lösung, das Problem zu umgehen, wäre ein Verzicht auf SSL 3.0, was theoretisch auch möglich wäre. Allerdings könnte dies dann teilweise zu Kompatibilitätsproblemen führen.
Deshalb schlägt Google eine andere Fallback-Lösung vor, nämlich TLS_FALLBACK_SCSV. Über diese Methode wird bei einer fehlgeschlagenen Verbindung eben kein Fallback auf SSL 3.0 angeboten, sondern erneut eine Verbindung aufgebaut. So wird quasi der Moment des möglichen Angriffs gar nicht erst gegeben. Google Chrome und Google Server unterstützen das neue Fallback-Element bereits seit Februar, sodass Google davon ausgeht, dass es keine Kompatibilitätsprobleme gibt.
Chrome wird nun ebenfalls komplett auf die neue Methode umgestellt. Das wird zur Folge haben, dass sich manche Seiten nicht mehr aufrufen lassen (die, die nur SSL 3.0 bieten). Diese Seiten müssten dann entsprechend angepasst werden. Google hofft, in den nächsten Monaten SSL 3.0 bei den eigenen Produkten komplett deaktivieren zu können.
Details zu der Fallback-Lücke findet Ihr in diesem Dokument, welches überraschenderweise angenehm knapp ausfällt. Eure eigenen Server lassen sich diesbezüglich hier testen.