Yn dilyn ymlaen o gofnodion blaenorol am wefannau sy’n defnyddio technoleg SSL/TLS mae yna ddiweddariad pwysig arall yn y dyddiau diwethaf. I fenthyg ymadrodd rhywun arall, mae diogelwch ar gyfrifiaduron yn broses nid digwyddiad. Os ydych chi’n rhedeg unrhyw fath o wasanaeth cyhoeddus ar y we rhaid cadw fyny gyda’r dechnoleg a’r canllawiau diweddaraf.
Mae’r gwendid difrifol ddiweddaraf (o’r enw DROWN) yn defnyddio gwall ym mhrotocol SSL v2 er mwyn torri diogelwch ar brotocolau mwy modern TLS. Nawr, does dim rheswm yn y byd fod SSL v2 wedi ei droi ymlaen ar unrhyw wefan. Datblygwyd y ddau brotocol yn 1995 a 1996 a maen nhw’n llawn gwallau sy’n golygu nad ydyn nhw’n trosglwyddo gwybodaeth mewn modd cadarn a diogel. Doedd hyn ddim yn arfer bod yn broblem am nad yw porwyr modern yn defnyddio SSL v2 beth bynnag, ond mae wastad perygl o adael hen brotocol anniogel ‘yn y golwg’. A dyma lle mae techneg DROWN yn dod i’r fei.
Dwi ddim wedi galluogi v2 ar unrhyw system ers diwedd y 1990au. Ers cwpl o flynyddoedd dwi wedi troi v3 i ffwrdd hefyd – os ydych chi’n rhedeg unrhyw wefan e-fasnach ac yn cael arolwg PCI wedi ei wneud, hwn yw un o’r pethau cyntaf sy’n codi. Y dechnoleg fwyaf modern yw TLS 1.2 ond mae angen cefnogi TLS 1.0 ar hyn o bryd er mwyn gwasanaethu hen borwyr Internet Explorer 7-10 a hen fersiynau o Android ac iOS. O fewn cwpl o flynyddoedd, mi fydd TLS 1.0 yn cael ei ddiffodd hefyd.
Yn anffodus mae SSL v2/3 yn parhau i fod wedi eu galluogi yn ddiofyn ar nifer o systemau, yn enwedig gweinyddion Windows. Dyma rhai o’r gwefannau sy’n dal i’w ddefnyddio wrth i mi brofi heddiw:
- plaid.cymru
traveline.cymru- agored.cymru
- comisiynyddygymraeg.cymru
cynulliad.cymrucardiff.gov.uk(newidiwyd tua 2016-03-19)llgc.org.uk(newidiwyd 2016-03-04)porth.ac.uk(newidiwyd 2016-03-04)
(ynghyd a nifer o wefannau prifysgolion sy’n rhy faith i’w rhestru)
Dwi wedi cysylltu gyda phawb ar y rhestr i rybuddio am y gwall.