留神：谷歌欲片面禁用SSLv3协定及RC4流暗码

谷歌宣布这是最后一次调剂旧有Web安全协定。具体而言，谷歌计划禁用传输层安全协定SSLv3以及前端服务器的RC4流暗码，终极，扩展至其旗下所有软件，包含Chrome、Android、邮件服务器以及Web爬虫程序。供互联网义务工作义务组应用的RC4和SSLv3均被认为是不安全的。

谷歌在其一篇博客中指出SSLv3已经过时了16年，虽然RC4还没有面临相同的成绩，但近来俨然已成了攻打研究的主要目标。考虑到其强度，事实上早在2015年2月IETF就已禁止在TLS中应用RC4了。SSLv3实乃历史遗留成绩，而近来因为POODLE攻打遭到多方封杀。

谷歌认为尚有许多网站和浏览器用户仍在应用这些有漏洞的协定。依据博客中的SSL Pulse调查显示，在前200，000 HTTPS网站中58%仍置有RC4，34%仍置有SSLv3。

依据Chase Cunningham博士的说法，没有禁用SSLv3的网站会处于很多攻打的危险之下。

"留有这些SSL运行的每个网站将处于中间人和下载型攻打的威胁下，因此，访问该网站的任何人都大有可能违背规则或是遭遇拦截，"Cunningham说。"对于领有以这类事情知名的网站的企业来说，这并不是什么好事。"

谷歌称其将缓慢推行在其前端服务器禁用SSLv3和RC4，并终极扩大范围至所有产品，包含Chrome浏览器。尽管谷歌指出得是你的服务器依赖这些中的某个协定，不过TLS用户应该可能自动依据这些改变做出调剂。

相反，谷歌在服务器识别、暗码套件、信任证书以及证书处理方面为其TLS 1.2设置了最小的安全要求。为了使这些转换更容易，谷歌专门准备了一款测试工具。

Cunningham称谷歌所要做的这些改变并不繁重，甚至对个别企业来说相当轻松，但总体而言却可以发挥很大的作用。"我们企业将在周末做出整个转换。领有一个像样的IT部门的企业可能在很短的时间内完成，"Cunningham说道。"这是项大工程，至少从旧有标准升级链这只是个开始。这是沿着正确的方向迈出的一小步，但弥足珍贵。"

转载自:https://netsecurity.51cto.com/art/201509/492041.htm

声明: 除非转自他站（如有侵权，请联系处理）外，本文采用 BY-NC-SA 协议进行授权 | 嗅谱网
转载请注明：转自《留神：谷歌欲片面禁用SSLv3协定及RC4流暗码》
本文地址：http://www.xiupu.net/archives-4709.html
关注公众号：