Ho letto questo articolo dal Blog sulla sicurezza online di Google, e dice che Google disabiliterà il supporto per SSLv3 e RC4.
Ecco il motivo:
SSLv3 has been obsolete for over 16 years and is so full of known problems that the IETF has decided that it must no longer be used. RC4 is a 28 year old cipher that has done remarkably well, but is now the subject of multiple attacks at security conferences. The IETF has decided that RC4 also warrants a statement that it too must no longer be used.
- Quando ciò accadrà, noi, i clienti, dovremo fare qualsiasi tipo di aggiornamento o configurazione?
- Che cosa possiamo fare adesso?
Non sono sicuro che se capisco bene, scomparirà HTTPS o si tratta solo di aggiornamenti della crittografia?
C'è anche una sezione "requisiti" nell'articolo
Specifically, we are requiring:
- TLS 1.2 must be supported.
- A Server Name Indication (SNI) extension must be included in the handshake and must contain the domain that's being connected to.
- The cipher suite TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 must be supported with P-256 and uncompressed points.
- At least the certificates in https://pki.google.com/roots.pem must be trusted.
- Certificate handling must be able to support DNS Subject Alternative Names and those SANs may include a single wildcard as the left-most label in the name.
Come clienti dei registrar dei nomi di dominio e dei servizi di web hosting, dovremo fare qualche aggiornamento o queste informazioni sono solo per loro?
Fondamentalmente, quello che chiedo è: dovremmo ancora ottenere certificati SSL per i nostri siti web? Se sì, da dove, o quale versione?