The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Google прекращает поддержку SSLv3 и RC4 и повышает требования к HTTPS

18.09.2015 09:10

Компания Google анонсировала скорое прекращение поддержки протокола SSLv3 и алгоритма RC4, которые не отвечают современным требованиям безопасности и подвержены нескольким видам атак. На первом этапе поддержка SSLv3 и RC4 будет отключена на фронтэнд-серверах, после чего отключение распространится на все продукты Google, включая Chrome (SSLv3 в Chrome уже отключён, в очереди на отключение RC4), Android, поисковые боты и SMTP-серверы. По статистике SSL Pulse из 200 тысяч крупнейших HTTPS-сайтов 42% уже отключили RC4 и 65% отключили SSLv3.

Кроме того, планируется повысить требования к параметрам установки соединения HTTPS, например, для работы с сайтами Google по защищённому каналу связи на стороне клиента станет обязательной поддержка TLS 1.2, наличие расширения SNI (Server Name Indication) и присутствие набора шифров TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256. Доверие будет ограничено корневыми сертификтами из списка pki.google.com/roots.pem, при обработке сертификатов обязательной будет поддержка DNS SAN (Subject Alternative Names). Для тестирования соответствия клиентского ПО новым требованиям Google подготовлена страница cert-test.sandbox.google.com.

  1. Главная ссылка к новости (http://googleonlinesecurity.bl...)
  2. OpenNews: Google, Mozilla и Microsoft прекратят поддержку RC4 в своих web-браузерах
  3. OpenNews: В Chrome будет прекращена поддержка SHA-1 для HTTPS
  4. OpenNews: Проект Mozilla присоединился к инициативе по отказу от SHA-1 для HTTPS
Лицензия: CC-BY
Тип: К сведению
Короткая ссылка: https://opennet.ru/42982-ssl
Ключевые слова: ssl, sha
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (32) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, iPony (?), 09:29, 18/09/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > Для тестирования соответствия клиентского ПО новым требованиям Google подготовлена страница

    Проверял разные браузеры на разных ОС.
    IE11 на вындовз 7 не проходит.

     
     
  • 2.2, анончег (?), 09:39, 18/09/2015 [^] [^^] [^^^] [ответить]  
  • +/
    IE11 на Win10 проходит
     
  • 2.3, Аноним (-), 10:53, 18/09/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Надеюсь это была шутка? =)
     
     
  • 3.4, Анонимус_б6_выпуск_3 (?), 10:55, 18/09/2015 [^] [^^] [^^^] [ответить]  
  • +/
    нет, не шутка
     
     
  • 4.6, daemontux (?), 11:24, 18/09/2015 [^] [^^] [^^^] [ответить]  
  • +/
    > нет, не шутка

    Подтверждаю. На 11 ишаке не работает.

     
  • 2.8, iZEN (ok), 11:50, 18/09/2015 [^] [^^] [^^^] [ответить]  
  • +/
    > IE11 на вындовз 7 не проходит.

    Не обновляется, видимо - пламенный привет от Windows 10 устаревшим системам.

     
     
  • 3.10, sadsad (?), 12:31, 18/09/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Win7 ещё поддерживается.
     
     
  • 4.12, iPony (?), 13:21, 18/09/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Да, но фаза основной поддержки закончилась, щас на расширенной.
     
  • 2.15, Аноним (-), 14:18, 18/09/2015 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > IE11 на вындовз 7 не проходит.

    Открывал в vimb, xombrero и прочей маргинальщине на webkit-gtk2
    > Client test successful.

    Интересно, как клоуны, ксении и другие, идейные или проплаченные пиарщики  "качества" проприетарщины, собираются опять впарить "когда вас за ваши же деньги еще и ... " за фичу :)

     
  • 2.42, username (??), 11:06, 20/09/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Ты попутал немного, веб страницы нужно открывать веб браузером, осел к ним не относится.
     

  • 1.5, Аноним (-), 11:19, 18/09/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • –5 +/
    >TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256

    Почему именно этот а не более безопасный GOST?
    Совпадение? Не думаю.

     
     
  • 2.9, Аноним (-), 12:23, 18/09/2015 [^] [^^] [^^^] [ответить]  
  • +2 +/
    GOST содержит уязвимости.
     
     
  • 3.11, Аноним (-), 12:47, 18/09/2015 [^] [^^] [^^^] [ответить]  
  • –1 +/
    gost содержит (родные) уязвимости!

    Еще проще получить данные подав заявку в ФСБ на расшифровку

     
  • 3.14, Аноним (-), 14:11, 18/09/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Сам GOST как алгоритм уязвимости не содержит, иначе бы его не стандартизовали и не использовали. Там проблема в возможных настройках алгоритма.
     
     
  • 4.16, pavlinux (ok), 14:22, 18/09/2015 [^] [^^] [^^^] [ответить]  
  • +/
    > Сам GOST как алгоритм уязвимости не содержит,

    Доказательства есть?

     
     
  • 5.20, Аноним (-), 14:44, 18/09/2015 [^] [^^] [^^^] [ответить]  
  • +/
    >> Сам GOST как алгоритм уязвимости не содержит,
    > Доказательства есть?

    Докажи что содержит

     
     
  • 6.26, pavlinux (ok), 15:20, 18/09/2015 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >>> Сам GOST как алгоритм уязвимости не содержит,
    >> Доказательства есть?
    > Докажи что содержит

    Стрелки не переводи.  Ты заявил - ты доказывай.


     
     
  • 7.39, Аноним (-), 21:35, 18/09/2015 [^] [^^] [^^^] [ответить]  
  • +/
    в гугле забанили? не так давно даже тут пробегала статья о оценке криптостойкости ГОСТ 28147.
     
  • 7.40, Аноним (-), 21:47, 18/09/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Сам не переводи, читай всё обсуждение, а не только последнее сообщение.
     
  • 2.36, Аноним (-), 19:31, 18/09/2015 [^] [^^] [^^^] [ответить]  
  • +/
    > Почему именно этот а не более безопасный GOST?

    Наверное, потому что никто не собирается гадать какие таблицы замены хорошие, а какие нет. Да и вообще, потомки DES'а нынче не в моде.

    > Совпадение? Не думаю.

    Ты умеешь думать?

     
     
  • 3.41, Аноним (-), 21:49, 18/09/2015 [^] [^^] [^^^] [ответить]  
  • +/
    >> Почему именно этот а не более безопасный GOST?
    > Наверное, потому что никто не собирается гадать какие таблицы замены хорошие, а
    > какие нет.

    Вроде их собирались тоже добавить в стандарт, не сделано пока?

     

  • 1.7, iZEN (ok), 11:48, 18/09/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    https://cert-test.sandbox.google.com/
    Firefox 40.0.3, IE 11.0.10240.16431, Edge 20.10240.16384.0 - Client test successful.
     
     
  • 2.38, Аноним (-), 20:05, 18/09/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Opera
    Версия:
    12.17
    Сборка:
    1863
    Платформа:
    x64
    Система:
    Windows 7

    Безопасное подключение: критическая ошибка (49) с сервера

    https://cert-test.sandbox.google.com/

    Сертификат правильный, но доступ запрещен.

     

  • 1.13, Аноним (-), 13:48, 18/09/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    **присутствие** набора шифров TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 ? видать какой-то из компонентов легко проламывается и какбы не эти хвалёные EC.
     
     
  • 2.37, Аноним (-), 19:33, 18/09/2015 [^] [^^] [^^^] [ответить]  
  • +/
    > **присутствие** набора шифров TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 ? видать какой-то
    > из компонентов легко проламывается и какбы не эти хвалёные EC.

    Учитывая что там именно NIST'овские кривые, а не 25519 например - вот это может быть.

     

  • 1.17, Аноним (-), 14:29, 18/09/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    >> для работы с сайтами Google по защищённому каналу связи на стороне клиента станет обязательной ... наличие расширения SNI

    я правильно понимаю, что это блокирует устройствам на Android 2.x доступ к серверам Google?

     
  • 1.18, pavlinux (ok), 14:37, 18/09/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Links 2.8, SSL Error
     
     
  • 2.22, An2 (?), 14:53, 18/09/2015 [^] [^^] [^^^] [ответить]  
  • +1 +/
    links 2.11
    client test successful
     

  • 1.19, pavlinux (ok), 14:39, 18/09/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Да они долб....ы. Thunderbird, The Bat!,... стали банить (если работать по IMAPs/POP3s/SSMTP)  
     
     
  • 2.21, iPony (?), 14:49, 18/09/2015 [^] [^^] [^^^] [ответить]  
  • +/
    > Thunderbird стали банить

    Врёшь же.

     
     
  • 3.23, pavlinux (ok), 15:00, 18/09/2015 [^] [^^] [^^^] [ответить]  
  • +/
    >> Thunderbird стали банить
    > Врёшь же.

    https://www.google.com/settings/security/lesssecureapps
    https://support.google.com/accounts/answer/6010255?hl=ru

    > "Как разрешить ненадежным приложениям доступ к аккаунту
    > Google может блокировать приложения и устройства, которые пытаются
    > получить доступ к вашему аккаунту и при этом не отвечают современным
    >стандартам безопасности. Это позволяет нам защитить ваш аккаунт.
    > Вот некоторые примеры таких приложений и устройств:
    > почтовый клиент для iPad на платформе iOS 6 и ниже;
    > почтовый клиент для телефонов на платформе Windows ниже версии 8.1;
    > отдельные почтовые программы для компьютеров, например Microsoft Outlook или Mozilla Thunderbird..."

    Неделю-две назад видимо переключили в режим по-умолчанию.


     
     
  • 4.24, iPony (?), 15:03, 18/09/2015 [^] [^^] [^^^] [ответить]  
  • +/
    https://www.mozilla.org/en-US/thunderbird/38.0beta/releasenotes/

    GMail supports OAuth2 authentication, removing the need to manually select "allow less secure applications" in Google options for the account.

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2020 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру