当 Google 禁用 SSLv3 和 RC4 时该怎么办?

信息安全 tls 证书 谷歌 rc4
2021-09-03 18:49:38

我从 Google 的在线安全博客中阅读了这篇文章,它说 Google 将禁用对 SSLv3 和 RC4 的支持。

原因如下:

SSLv3 已经过时超过 16 年,并且充满了已知问题,以至于 IETF 决定不再使用它。RC4 是一个有 28 年历史的密码,它的表现非常好,但现在成为安全会议上多次攻击的主题。IETF 已决定 RC4 也保证声明不再使用它。

  • 当这种情况发生时,我们——客户——是否必须进行任何类型的升级或配置?
  • 我们现在能做什么?

我不确定我是否理解得很好,HTTPS会消失,还是只是关于加密升级?

文章中还有一个“要求”部分

具体来说,我们要求:

  1. 必须支持 TLS 1.2。
  2. 服务器名称指示 (SNI) 扩展必须包含在握手中,并且必须包含要连接的域。
  3. P-256 和未压缩点必须支持密码套件 TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256。
  4. 至少必须信任https://pki.google.com/roots.pem中的证书。
  5. 证书处理必须能够支持 DNS 主题备用名称,并且这些 SAN 可能包含一个通配符作为名称中最左侧的标签。

作为域名注册商和网络托管服务的客户,我们是否需要进行任何升级,或者这些信息仅适用于他们?

基本上,我要问的是:我们还应该为我们的网站获得 SSL 证书吗?如果是这样,来自哪里或什么版本?

1个回答

基本上我要问的是:我们还应该为我们的网站获得 SSL 证书吗?

是的,一点没错。TLS 只是 SSL 的更新版本,它们都使用相同的证书。

顺便说一句——SSL 是一种 Netscape 协议。当它作为 RFC 成为主流时,他们做了一些小的调整并将其重命名为 TLS,这样它就不会与“专有标准”相混淆。但在实践中,人们多年来一直使用术语 SSL 来指代 TLS,反之亦然。直到现在,当我们开始认真考虑淘汰最终的 SSLv3 协议时,混乱才开始引起问题。

如果是这样,来自哪里或什么版本?

您将继续从 Verisign、Entrust、Comodo 等相同的证书颁发机构 (CA) 获取证书。 除了 SSL->TLS 更改之外证书现在需要使用 SHA-2而不是旧的哈希协议,如 SHA -1。您的 CA 应该使用 SHA-2 颁发任何新证书,并且应该能够帮助您导航更改。

当 [SSLv3 退役] 时,我们——客户端——是否必须进行任何类型的升级或配置?

如果你使用的是普通的网络浏览器,你可能没问题。由于 SSLv3 的消失,只有非常旧的 Web 浏览器才会出现问题,Windows XP 上的 IE6 是人们谈论的大人物。

如果您使用的是 Java 代码、curl、wget、openssl 等自定义客户端,那么您可能需要使用更新的版本。问题在于,当有人用 Java 编写 SSL 客户端时,他们通常不会经常更新它,因为更新 Java 简直就是地狱。所以定制客户会有问题。

其它你可能感兴趣的问题
上一篇禁用消息签名(危险,但默认) 下一篇有人用我的VPS的IP注册了一个域名