谷歌将禁用弱SSLv3和RC4协议以提高互联网安全性
发布时间:2022-05-06 02:51:44 388
相关标签: # 前端# 服务器# 设备# 软件# 缺陷

由于安全套接字层(SSL)3.0加密协议和RC4密码套件长期存在缺陷,谷歌计划禁用对SSLv3和RC4的支持前端服务器中的流密码。
这家搜索引擎巨头在其官方博客上宣布,该公司希望在其所有前端服务器中,以及最终在其所有软件中,包括Chrome、Android、网络爬虫和电子邮件服务器中,都能删除SSLv3和RC4。
考虑到RC4和SSLv3都被美国政府视为不安全的事实,谷歌的举动并不令人意外互联网工程特别工作组(IETF)。
有什么问题?
16年前过时的SSLv3有着像BEAST这样的安全问题的悠久历史,其中最近的一个是贵宾犬(在降级的旧版加密上填充Oracle)导致恢复明文通信的攻击。
IETF正式宣布SSLV3已死亡并被掩埋,并在三个月前发布的一份互联网标准跟踪文件中谴责了SSLv3,称其“不够安全”,并禁止在新的应用程序中使用SSLv3。
RC4(Rivest Cipher 4)是28年前的加密密码套件,仍有大约50%的TLS流量使用它。
多年来,RC4多次受到攻击,有时会导致TLS会话泄露和cookie解密。
最近,两名比利时安全研究人员还展示了一种针对RC4加密算法的更实用、更可行的攻击技术,使攻击者能够在比以前短得多的时间内暴露加密数据。
你能做些什么?
解决这些安全障碍的最好办法是禁用SSLv3和RC4支持,谷歌也会这么做。
谷歌将逐步在其前端服务器和所有产品(包括Chrome、Android和电子邮件服务器)上禁用SSLv3和RC4支持。
尽管如此,该公司还在为未来制定新的推荐最低TLS标准,以便网站和TLS客户端可以自动升级到更安全的协议。
谷歌的倡议
由于许多连接到谷歌服务的嵌入式系统和其他客户端应用程序无法轻松升级以支持新的加密协议,搜索引擎建议采用新的设备和应用程序:
- TLS (Transport Layer Security) 1.2 必须得到支持
- A.服务器名称指示(SNI)扩展必须包含在握手中,并且必须包含它所连接的域。
- 密码套件TLS_ECDHE_RSA_与_AES_128_GCM_SHA256必须支持P-256和未压缩点。
- 至少在'https://pki.google.com/roots.pem“必须信任。
- 证书处理必须能够支持DNS主题替代名称这些SAN可能包含一个通配符作为名称中最左边的标签。
他指出,这并不意味着不符合这些要求的设备和应用程序将很快停止工作,但它们可能会在2020年受到这些变化的影响亚当·兰利,该公司的安全工程师。
另请阅读:
- 如何保护自己免受“心血”
- 数以十亿计的智能手机用户受到心脏出血的影响
- POODLE SSL漏洞正在攻击TLS安全协议
- 90%的SSL站点易受BEAST SSL攻击
- Break在30秒内解码HTTPS加密数据
特别声明:以上内容(图片及文字)均为互联网收集或者用户上传发布,本站仅提供信息存储服务!如有侵权或有涉及法律问题请联系我们。
举报