Google прекращает поддержку SSLv3 и RC4 и повышает требования к HTTPS

18.09.2015 09:10

Компания Google анонсировала скорое прекращение поддержки протокола SSLv3 и алгоритма RC4, которые не отвечают современным требованиям безопасности и подвержены нескольким видам атак. На первом этапе поддержка SSLv3 и RC4 будет отключена на фронтэнд-серверах, после чего отключение распространится на все продукты Google, включая Chrome (SSLv3 в Chrome уже отключён, в очереди на отключение RC4), Android, поисковые боты и SMTP-серверы. По статистике SSL Pulse из 200 тысяч крупнейших HTTPS-сайтов 42% уже отключили RC4 и 65% отключили SSLv3.

Кроме того, планируется повысить требования к параметрам установки соединения HTTPS, например, для работы с сайтами Google по защищённому каналу связи на стороне клиента станет обязательной поддержка TLS 1.2, наличие расширения SNI (Server Name Indication) и присутствие набора шифров TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256. Доверие будет ограничено корневыми сертификтами из списка pki.google.com/roots.pem, при обработке сертификатов обязательной будет поддержка DNS SAN (Subject Alternative Names). Для тестирования соответствия клиентского ПО новым требованиям Google подготовлена страница cert-test.sandbox.google.com.

исправить +2 +/–

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/42982-ssl

Ключевые слова: ssl, sha

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (32)

1.1, iPony (?), 09:29, 18/09/2015 [ответить] [﹢﹢﹢] [ · · · ]	+/–
> Для тестирования соответствия клиентского ПО новым требованиям Google подготовлена страница Проверял разные браузеры на разных ОС. IE11 на вындовз 7 не проходит.

2.2, анончег (?), 09:39, 18/09/2015 [^] [^^] [^^^] [ответить]	+/–
IE11 на Win10 проходит

2.3, Аноним (-), 10:53, 18/09/2015 [^] [^^] [^^^] [ответить]	+/–
Надеюсь это была шутка? =)

3.4, Анонимус_б6_выпуск_3 (?), 10:55, 18/09/2015 [^] [^^] [^^^] [ответить]	+/–
нет, не шутка

4.6, daemontux (?), 11:24, 18/09/2015 [^] [^^] [^^^] [ответить]	+/–
> нет, не шутка Подтверждаю. На 11 ишаке не работает.

2.8, iZEN (ok), 11:50, 18/09/2015 [^] [^^] [^^^] [ответить]	+/–
> IE11 на вындовз 7 не проходит. Не обновляется, видимо - пламенный привет от Windows 10 устаревшим системам.

3.10, sadsad (?), 12:31, 18/09/2015 [^] [^^] [^^^] [ответить]	+/–
Win7 ещё поддерживается.

4.12, iPony (?), 13:21, 18/09/2015 [^] [^^] [^^^] [ответить]	+/–
Да, но фаза основной поддержки закончилась, щас на расширенной.

2.15, Аноним (-), 14:18, 18/09/2015 [^] [^^] [^^^] [ответить]

+2 +/–

> IE11 на вындовз 7 не проходит.

Открывал в vimb, xombrero и прочей маргинальщине на webkit-gtk2
> Client test successful.

Интересно, как клоуны, ксении и другие, идейные или проплаченные пиарщики "качества" проприетарщины, собираются опять впарить "когда вас за ваши же деньги еще и ... " за фичу :)

2.42, username (??), 11:06, 20/09/2015 [^] [^^] [^^^] [ответить]	+/–
Ты попутал немного, веб страницы нужно открывать веб браузером, осел к ним не относится.

1.5, Аноним (-), 11:19, 18/09/2015 [ответить] [﹢﹢﹢] [ · · · ]	–5 +/–
>TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 Почему именно этот а не более безопасный GOST? Совпадение? Не думаю.

2.9, Аноним (-), 12:23, 18/09/2015 [^] [^^] [^^^] [ответить]	+2 +/–
GOST содержит уязвимости.

3.11, Аноним (-), 12:47, 18/09/2015 [^] [^^] [^^^] [ответить]	–1 +/–
gost содержит (родные) уязвимости! Еще проще получить данные подав заявку в ФСБ на расшифровку

3.14, Аноним (-), 14:11, 18/09/2015 [^] [^^] [^^^] [ответить]	+/–
Сам GOST как алгоритм уязвимости не содержит, иначе бы его не стандартизовали и не использовали. Там проблема в возможных настройках алгоритма.

4.16, pavlinux (ok), 14:22, 18/09/2015 [^] [^^] [^^^] [ответить]	+/–
> Сам GOST как алгоритм уязвимости не содержит, Доказательства есть?

5.20, Аноним (-), 14:44, 18/09/2015 [^] [^^] [^^^] [ответить]	+/–
>> Сам GOST как алгоритм уязвимости не содержит, > Доказательства есть? Докажи что содержит

6.26, pavlinux (ok), 15:20, 18/09/2015 [^] [^^] [^^^] [ответить]

–1 +/–

>>> Сам GOST как алгоритм уязвимости не содержит,
>> Доказательства есть?
> Докажи что содержит

Стрелки не переводи. Ты заявил - ты доказывай.

7.39, Аноним (-), 21:35, 18/09/2015 [^] [^^] [^^^] [ответить]	+/–
в гугле забанили? не так давно даже тут пробегала статья о оценке криптостойкости ГОСТ 28147.

7.40, Аноним (-), 21:47, 18/09/2015 [^] [^^] [^^^] [ответить]	+/–
Сам не переводи, читай всё обсуждение, а не только последнее сообщение.

2.36, Аноним (-), 19:31, 18/09/2015 [^] [^^] [^^^] [ответить]

+/–

> Почему именно этот а не более безопасный GOST?

Наверное, потому что никто не собирается гадать какие таблицы замены хорошие, а какие нет. Да и вообще, потомки DES'а нынче не в моде.

> Совпадение? Не думаю.

Ты умеешь думать?

3.41, Аноним (-), 21:49, 18/09/2015 [^] [^^] [^^^] [ответить]	+/–
>> Почему именно этот а не более безопасный GOST? > Наверное, потому что никто не собирается гадать какие таблицы замены хорошие, а > какие нет. Вроде их собирались тоже добавить в стандарт, не сделано пока?

1.7, iZEN (ok), 11:48, 18/09/2015 [ответить] [﹢﹢﹢] [ · · · ]	+1 +/–
https://cert-test.sandbox.google.com/ Firefox 40.0.3, IE 11.0.10240.16431, Edge 20.10240.16384.0 - Client test successful.

2.38, Аноним (-), 20:05, 18/09/2015 [^] [^^] [^^^] [ответить]

+/–

Opera
Версия:
12.17
Сборка:
1863
Платформа:
x64
Система:
Windows 7

Безопасное подключение: критическая ошибка (49) с сервера

https://cert-test.sandbox.google.com/

Сертификат правильный, но доступ запрещен.

1.13, Аноним (-), 13:48, 18/09/2015 [ответить] [﹢﹢﹢] [ · · · ]	–1 +/–
присутствие набора шифров TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 ? видать какой-то из компонентов легко проламывается и какбы не эти хвалёные EC.

2.37, Аноним (-), 19:33, 18/09/2015 [^] [^^] [^^^] [ответить]	+/–
> присутствие набора шифров TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 ? видать какой-то > из компонентов легко проламывается и какбы не эти хвалёные EC. Учитывая что там именно NIST'овские кривые, а не 25519 например - вот это может быть.

1.17, Аноним (-), 14:29, 18/09/2015 [ответить] [﹢﹢﹢] [ · · · ]	+/–
>> для работы с сайтами Google по защищённому каналу связи на стороне клиента станет обязательной ... наличие расширения SNI я правильно понимаю, что это блокирует устройствам на Android 2.x доступ к серверам Google?

1.18, pavlinux (ok), 14:37, 18/09/2015 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Links 2.8, SSL Error

2.22, An2 (?), 14:53, 18/09/2015 [^] [^^] [^^^] [ответить]	+1 +/–
links 2.11 client test successful

1.19, pavlinux (ok), 14:39, 18/09/2015 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Да они долб....ы. Thunderbird, The Bat!,... стали банить (если работать по IMAPs/POP3s/SSMTP)

2.21, iPony (?), 14:49, 18/09/2015 [^] [^^] [^^^] [ответить]	+/–
> Thunderbird стали банить Врёшь же.

3.23, pavlinux (ok), 15:00, 18/09/2015 [^] [^^] [^^^] [ответить]

+/–

>> Thunderbird стали банить
> Врёшь же.

https://www.google.com/settings/security/lesssecureapps
https://support.google.com/accounts/answer/6010255?hl=ru

> "Как разрешить ненадежным приложениям доступ к аккаунту
> Google может блокировать приложения и устройства, которые пытаются
> получить доступ к вашему аккаунту и при этом не отвечают современным
>стандартам безопасности. Это позволяет нам защитить ваш аккаунт.
> Вот некоторые примеры таких приложений и устройств:
> почтовый клиент для iPad на платформе iOS 6 и ниже;
> почтовый клиент для телефонов на платформе Windows ниже версии 8.1;
> отдельные почтовые программы для компьютеров, например Microsoft Outlook или Mozilla Thunderbird..."

Неделю-две назад видимо переключили в режим по-умолчанию.

4.24, iPony (?), 15:03, 18/09/2015 [^] [^^] [^^^] [ответить]	+/–
https://www.mozilla.org/en-US/thunderbird/38.0beta/releasenotes/ GMail supports OAuth2 authentication, removing the need to manually select "allow less secure applications" in Google options for the account.

игнорирование участников | лог модерирования

Добавить комментарий

Текст: