¿Qué hacer cuando Google desactiva SSLv3 y RC4?

8

He leído este artículo del Blog de seguridad en línea de Google, y dice que Google deshabilitará el soporte para SSLv3 y RC4.

Aquí está la razón:

  

SSLv3 ha estado obsoleto por más de 16 años y está tan lleno de   Problemas que el IETF ha decidido que ya no debe utilizarse. RC4   es un cifrado de 28 años que ha funcionado notablemente bien, pero ahora es el   objeto de múltiples ataques en conferencias de seguridad. El IETF tiene   decidió que RC4 también justifica una declaración de que tampoco debe seguir   ser utilizado.

  • Cuando eso suceda, los clientes tendremos que hacer cualquier tipo de ¿Actualizar o configurar?
  • ¿Qué podemos hacer ahora?

No estoy seguro de si entiendo bien, ¿desaparecerá HTTPS o solo se trata de actualizaciones de cifrado?

También hay una sección de 'requisitos' en el artículo

  

Específicamente, estamos requiriendo:

     
  1. TLS 1.2 debe ser compatible.
  2.   
  3. Debe incluirse una extensión de indicación de nombre de servidor (SNI) en el   handshake y debe contener el dominio al que se está conectando.
  4.   
  5. El conjunto de cifrado TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 debe ser   Compatible con P-256 y puntos sin comprimir.
  6.   
  7. Al menos los certificados en enlace deben   se Confiable.
  8.   
  9. El manejo de certificados debe ser compatible con el Asunto DNS   Los nombres alternativos y las SAN pueden incluir un solo comodín como   la etiqueta que está más a la izquierda en el nombre.
  10.   

Como clientes de registradores de nombres de dominio y servicios de alojamiento web, ¿tendremos que hacer alguna actualización o esta información es solo para ellos?

Básicamente, lo que pregunto es: ¿debemos obtener certificados SSL para nuestros sitios web todavía? Si es así, ¿desde dónde o qué versión?

    
pregunta Jonathan Solorzano 19.09.2015 - 18:12
fuente

1 respuesta

12
  

Básicamente, lo que pregunto es: ¿Deberíamos obtener certificados SSL para nuestros   sitios web todavía?

Sí, absolutamente. TLS es simplemente una versión más nueva de SSL, y ambos usan los mismos certificados.

Un aparte en los nombres: SSL era un protocolo de Netscape. Cuando se incorporó como RFC, hicieron algunos ajustes menores y le cambiaron el nombre a TLS para que no se confundiera con un "estándar patentado". Pero en la práctica, las personas han usado los términos SSL para referirse a TLS y viceversa durante años. Solo ahora, mientras nos tomamos en serio el retiro del protocolo final SSLv3, la confusión está empezando a causar problemas.

  

Si es así, ¿desde dónde o qué versión?

Continuará obteniendo certificados de las mismas Autoridades de Certificación (CA) como Verisign, Entrust, Comodo, etc., etc. Aparte del cambio de SSL > TLS , certificates ahora necesita usar SHA-2 en lugar de protocolos de hashing más antiguos como SHA-1. Su CA debe emitir cualquier certificado nuevo con SHA-2 y debería poder ayudarlo a navegar el cambio.

  

Cuando [SSLv3 esté retirado], ¿tendremos que hacer los clientes algún tipo de actualización o configuración?

Si está utilizando un navegador web normal, probablemente esté bien. Solo los navegadores web muy antiguos tendrán problemas debido a la desaparición de SSLv3, IE6 en Windows XP es el gente grande habla de .

Si está utilizando clientes personalizados como código Java, curl, wget, openssl, entonces probablemente necesite usar una versión más nueva. El problema es que cuando alguien codifica un cliente SSL en Java, generalmente no lo actualiza a menudo porque actualizar Java es un infierno. Así que los clientes personalizados van a tener problemas.

    
respondido por el gowenfawr 19.09.2015 - 20:04
fuente

Lea otras preguntas en las etiquetas