GoogleがSSLv3とRC4を無効にするとどうなりますか?
私はGoogleのオンラインセキュリティブログの この記事 を読みました。GoogleはSSLv3とRC4のサポートを無効にする予定です。
その理由は次のとおりです。
SSLv3は16年以上古くなっており、既知の問題が非常に多いため、IETFはSSLv3を使用しないように決定しました。 RC4は28年前の暗号であり、非常に優れていますが、現在はセキュリティ会議での複数の攻撃の対象となっています。 IETFは、RC4もまたもはや使用してはならないという声明を保証することを決定しました。
- それが発生した場合、私たち(クライアント)はあらゆる種類のアップグレードまたは構成を行う必要がありますか?
- 私たちは今何ができますか?
私がよく理解しているか、HTTPSが消えるのか、それとも暗号化のアップグレードに関するものだけなのかわかりません。
また、記事には「要件」セクションがあります
具体的には、以下が必要です。
- TLS 1.2がサポートされている必要があります。
- サーバー名表示(SNI)拡張がハンドシェイクに含まれている必要があり、接続されているドメインが含まれている必要があります。
- 暗号スイートTLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256は、P-256および非圧縮ポイントでサポートされている必要があります。
- 少なくとも https://pki.google.com/roots.pem の証明書は信頼されている必要があります。
- 証明書の処理はDNSサブジェクトの別名をサポートできなければならず、それらのSANは名前の左端のラベルとして単一のワイルドカードを含めることができます。
ドメインネームレジストラおよびWebホスティングサービスのクライアントとして、アップグレードを行う必要がありますか、それともこの情報はそれらだけのものですか?
基本的に、私が尋ねるのは、Webサイト用のSSL証明書をまだ取得する必要があるかどうかです。もしそうなら、どこから、またはどのバージョンから?
基本的に私が尋ねるのは、私たちのWebサイト用のSSL証明書をまだ取得する必要があるかどうかです。
そのとおり。 TLSは単にSSLの新しいバージョンであり、どちらも同じ証明書を使用します。
名前は別として-SSLはNetscapeプロトコルでした。それがRFCとして主流になったとき、彼らはいくつかのマイナーな調整を行い、それをTLSに名前を変更したので、「独自の標準」と混同されないようにしました。しかし実際には、人々は長年にわたってTLSを指すためにSSLという用語を使用しており、その逆も同様です。最終的にSSLv3プロトコルを廃止することに真剣に取り組んでいる今、混乱が問題を引き起こし始めています。
もしそうなら、どこから、またはどのバージョンから?
引き続き、Verisign、Entrust、Comodoなどの同じ認証局(CA)から証明書を取得します。SSL-> TLSの変更、 証明書はSHA-1のような古いハッシュプロトコルの代わりにSHA-2を使用する必要があります 。 CAはSHA-2で新しい証明書を発行する必要があり、変更のナビゲートを支援できる必要があります。
[SSLv3が廃止された]場合、私たち(クライアント)はあらゆる種類のアップグレードまたは構成を行う必要がありますか?
通常のWebブラウザーを使用している場合は、おそらく問題ありません。 SSLv3が表示されないため、非常に古いWebブラウザーのみに問題があります。Windows上のIE6 XP -- 大物が語る です。
Java code、curl、wget、opensslのようなカスタムクライアントを使用している場合、おそらく新しいバージョンを使用する必要があります。問題は、誰かがJavaでSSLクライアントをコーディングすると、 Javaは地獄です。カスタムクライアントは問題が発生するため、通常は頻繁に更新していません。