注意:谷歌欲全面禁用SSLv3协议及RC4流密码

安全 数据安全
谷歌宣布这是最后一次调整旧有Web安全协议。具体而言,谷歌计划禁用传输层安全协议SSLv3以及前端服务器的RC4流密码,最终,扩展至其旗下所有软件,包括Chrome、Android、邮件服务器以及Web爬虫程序。

谷歌宣布这是最后一次调整旧有Web安全协议。具体而言,谷歌计划禁用传输层安全协议SSLv3以及前端服务器的RC4流密码,最终,扩展至其旗下所有软件,包括Chrome、Android、邮件服务器以及Web爬虫程序。供互联网任务工作任务组使用的RC4和SSLv3均被认为是不安全的。

[[149922]]

谷歌在其一篇博客中指出SSLv3已经过时了16年,虽然RC4还没有面临相同的问题,但最近俨然已成了攻击研究的主要目标。考虑到其强度,事实上早在2015年2月IETF就已禁止在TLS中使用RC4了。SSLv3实乃历史遗留问题,而最近因为POODLE攻击遭到多方封杀。

谷歌认为尚有许多网站和浏览器用户仍在使用这些有漏洞的协议。根据博客中的SSL Pulse调查显示,在前200,000 HTTPS网站中58%仍置有RC4,34%仍置有SSLv3。

根据Chase Cunningham博士的说法,没有禁用SSLv3的网站会处于很多攻击的危险之下。

"留有这些SSL运行的每个网站将处于中间人和下载型攻击的威胁下,因此,访问该网站的任何人都大有可能违背规则或是遭遇拦截,"Cunningham说。"对于拥有以这类事情知名的网站的企业来说,这并不是什么好事。"

谷歌称其将缓慢推行在其前端服务器禁用SSLv3和RC4,并最终扩大范围至所有产品,包括Chrome浏览器。尽管谷歌指出得是你的服务器依赖这些中的某个协议,不过TLS用户应该能够自动根据这些改变做出调整。

相反,谷歌在服务器识别、密码套件、信任证书以及证书处理方面为其TLS 1.2设置了最小的安全要求。为了使这些转换更容易,谷歌专门准备了一款测试工具。

Cunningham称谷歌所要做的这些改变并不繁重,甚至对个别企业来说相当轻松,但总体而言却可以发挥很大的作用。"我们企业将在周末做出整个转换。拥有一个像样的IT部门的企业能够在很短的时间内完成,"Cunningham说道。"这是项大工程,至少从旧有标准升级链这只是个开始。这是沿着正确的方向迈出的一小步,但弥足珍贵。"

责任编辑:蓝雨泪 来源: TechTarget中国
相关推荐

2015-09-23 13:24:17

2018-02-08 08:55:09

2014-10-16 10:17:01

2013-09-27 13:27:18

2012-05-16 14:58:20

JavaJFile

2010-07-06 09:36:52

Linux内核

2015-09-07 10:12:46

2012-06-13 01:47:42

EclipseEquinox

2009-04-18 06:33:33

LinuxNetBSD 5.0 发行版

2016-01-12 10:33:24

2015-07-20 11:38:36

2012-07-16 09:58:15

SPDY协议HTTP

2012-04-12 09:56:05

JActorJava

2009-03-02 17:35:27

2010-06-10 10:48:50

Tomcat 7

2021-08-02 14:41:04

Linux Kerne开发工作应用程序

2020-06-28 13:44:12

Android 代码操作系统

2014-12-10 10:01:41

2015-04-02 10:26:52

2010-07-14 10:07:06

IMAP4协议标准
点赞
收藏

51CTO技术栈公众号