He leído este artículo del Blog de seguridad en línea de Google, y dice que Google deshabilitará el soporte para SSLv3 y RC4.
Aquí está la razón:
SSLv3 ha estado obsoleto por más de 16 años y está tan lleno de Problemas que el IETF ha decidido que ya no debe utilizarse. RC4 es un cifrado de 28 años que ha funcionado notablemente bien, pero ahora es el objeto de múltiples ataques en conferencias de seguridad. El IETF tiene decidió que RC4 también justifica una declaración de que tampoco debe seguir ser utilizado.
- Cuando eso suceda, los clientes tendremos que hacer cualquier tipo de ¿Actualizar o configurar?
- ¿Qué podemos hacer ahora?
No estoy seguro de si entiendo bien, ¿desaparecerá HTTPS o solo se trata de actualizaciones de cifrado?
También hay una sección de 'requisitos' en el artículo
Específicamente, estamos requiriendo:
- TLS 1.2 debe ser compatible.
- Debe incluirse una extensión de indicación de nombre de servidor (SNI) en el handshake y debe contener el dominio al que se está conectando.
- El conjunto de cifrado TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 debe ser Compatible con P-256 y puntos sin comprimir.
- Al menos los certificados en enlace deben se Confiable.
- El manejo de certificados debe ser compatible con el Asunto DNS Los nombres alternativos y las SAN pueden incluir un solo comodín como la etiqueta que está más a la izquierda en el nombre.
Como clientes de registradores de nombres de dominio y servicios de alojamiento web, ¿tendremos que hacer alguna actualización o esta información es solo para ellos?
Básicamente, lo que pregunto es: ¿debemos obtener certificados SSL para nuestros sitios web todavía? Si es así, ¿desde dónde o qué versión?