永别了:谷歌宣布放弃RC4和SSLv3协议
2019-04-08 10:01:14来源: FreeBuf.COM 阅读 ()
谷歌计划这周开始正式放弃支持流计算RC4和SSlv3协议。二者都有很长的历史,它们也曾暴露出了很多漏洞。
该计划预计将在周四发布,谷歌意在2016年在其所有的前端服务器,Chrome,Android,webcrawlers和SMTP服务器放弃使用RC4和SSLv3。国际互联网工程任务组(IETF)早在今年六月宣称SSLv3死亡,并明确指出其危险性——任何版本的TLS都比SSLv3安全。
不安全导致被淘汰
去年11月谷歌就禁止了SSLv3的回落机制以应对POOdlE攻击。POOdlE攻击技术允许攻击者强制服务器放弃先进的协议SSL/TLS转而使用更低级的SSLv3,许多TLS客户端支持降级机制,第一次握手提供能支持的最高协议版本,如果握手失败就用更原始的协议。这需要控制受害者的网络连接,并在其浏览器中执行一些脚本。可是当时谷歌还依然支持SSLv3,没有完全废除这项已经16岁的协议。
RC4已经28岁了,最初它很好用,今年来成为了综合攻击的目标,一些可以延伸到解密会话和cookie。RC4是流密码,用随机数加密明文,没有密钥就不能解密。但是用来加密的随机数不像预想的那样随机,至少在进程开始攻击者可以利用足够的TLS请求解密出明文。
谷歌宣布了一些未来TLS客户端的最低安全性标准
1,TLS1.2一定支持 2,一个服务器名字特征(SNIservernameindication)扩展一定要包含在握手包里,还要包含将要链接的域名 3,至少https://pki.google.com/roots.pem的证书要信任 4,证书操作一定能支持DNSSubjectAlternativeNames并且这些CAN包含一个单独的通配符作为名字最左边的标签。
安全专家Langley说:不满足需求的设备不会很快就停止,但也承认目前的现状会维持到2020年。
如果你的TLS客户端,web服务器或者邮件服务器使用SSLv3或RC4,建议你立即更新。然而不更新不意味着无法工作,TLS可以做替代工作,但是如果你只支持RC4那就要出问题了。
标签:
版权申明:本站文章部分自网络,如有侵权,请联系:west999com@outlook.com
特别注意:本站所有转载文章言论不代表本站观点,本站所提供的摄影照片,插画,设计作品,如需使用,请与原作者联系,版权归原作者所有
- 成为国内第一个宣布盈利的视频网站,芒果TV是怎么做到的? 2019-04-10
- Google-CH上线国内搜索功能?谷歌:这谁? 2019-04-10
- 谷歌“有毒”,黑客利用网页自动填充功能导流至恶意网站 2019-04-10
- 谷歌为什么退出中国?李彦宏只说出了一部分真相 2019-04-10
- 防作弊?谷歌说2018年要适当“阻止”网站重定向 2019-04-10
IDC资讯: 主机资讯 注册资讯 托管资讯 vps资讯 网站建设
网站运营: 建站经验 策划盈利 搜索优化 网站推广 免费资源
网络编程: Asp.Net编程 Asp编程 Php编程 Xml编程 Access Mssql Mysql 其它
服务器技术: Web服务器 Ftp服务器 Mail服务器 Dns服务器 安全防护
软件技巧: 其它软件 Word Excel Powerpoint Ghost Vista QQ空间 QQ FlashGet 迅雷
网页制作: FrontPages Dreamweaver Javascript css photoshop fireworks Flash