Che cosa fare quando Google disattiva SSLv3 e RC4?

8

Ho letto questo articolo dal Blog sulla sicurezza online di Google, e dice che Google disabiliterà il supporto per SSLv3 e RC4.

Ecco il motivo:

SSLv3 has been obsolete for over 16 years and is so full of known problems that the IETF has decided that it must no longer be used. RC4 is a 28 year old cipher that has done remarkably well, but is now the subject of multiple attacks at security conferences. The IETF has decided that RC4 also warrants a statement that it too must no longer be used.

  • Quando ciò accadrà, noi, i clienti, dovremo fare qualsiasi tipo di aggiornamento o configurazione?
  • Che cosa possiamo fare adesso?

Non sono sicuro che se capisco bene, scomparirà HTTPS o si tratta solo di aggiornamenti della crittografia?

C'è anche una sezione "requisiti" nell'articolo

Specifically, we are requiring:

  1. TLS 1.2 must be supported.
  2. A Server Name Indication (SNI) extension must be included in the handshake and must contain the domain that's being connected to.
  3. The cipher suite TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 must be supported with P-256 and uncompressed points.
  4. At least the certificates in https://pki.google.com/roots.pem must be trusted.
  5. Certificate handling must be able to support DNS Subject Alternative Names and those SANs may include a single wildcard as the left-most label in the name.

Come clienti dei registrar dei nomi di dominio e dei servizi di web hosting, dovremo fare qualche aggiornamento o queste informazioni sono solo per loro?

Fondamentalmente, quello che chiedo è: dovremmo ancora ottenere certificati SSL per i nostri siti web? Se sì, da dove, o quale versione?

    
posta Jonathan Solorzano 19.09.2015 - 18:12
fonte

1 risposta

12

Basically what I ask is: Should we get SSL Certificates for our websites still?

Sì, assolutamente. TLS è semplicemente una versione più recente di SSL e utilizzano entrambi gli stessi certificati.

A parte i nomi - SSL era un protocollo Netscape. Quando è diventato mainstream come RFC, ha apportato alcune modifiche minori e lo ha rinominato TLS in modo che non venga confuso con uno "standard proprietario". Ma in pratica, le persone hanno usato i termini SSL per riferirsi a TLS e viceversa per anni. Solo ora, mentre stiamo seriamente pensando di ritirare il protocollo SSLv3 finale, la confusione inizia a causare problemi.

If so, from where, or what version?

Continuerai a ricevere certificati dalle stesse Autorità di certificazione (CA) come Verisign, Entrust, Comodo, ecc. ecc. A parte il cambio SSL- > TLS , certificates ora è necessario utilizzare SHA-2 anziché protocolli di hashing più vecchi come SHA-1. La tua CA dovrebbe rilasciare nuovi certificati con SHA-2 e dovrebbe essere in grado di aiutarti a navigare nel cambiamento.

When [SSLv3 is retired], will we —the clients— have to do any kind of upgrade or configuration?

Se utilizzi un normale browser web, probabilmente stai bene. Solo browser Web molto vecchi avranno problemi a causa della scomparsa di SSLv3, IE6 su Windows XP essendo le persone di grandi dimensioni parlano di .

Se utilizzi client personalizzati come il codice Java, curl, wget, openssl, probabilmente hai bisogno di usare una versione più recente. Il problema è che quando qualcuno codifica un client SSL in Java, in genere non lo aggiorna spesso perché l'aggiornamento di Java è un inferno. Quindi i clienti personalizzati avranno problemi.

    
risposta data 19.09.2015 - 20:04
fonte

Leggi altre domande sui tag