WhiteHat News #ID:0911
VIP Members
-
30/07/2014
-
79
-
711 bài viết
Google ngừng hỗ trợ SSLv3 và RC4 trên Gmail
Ngày 16/5, Google công bố ngừng cung cấp hỗ trợ chính thức cho SSLv3 và thuật toán mã hóa RC4 kể từ sau ngày 16/6. Thông báo này áp dụng cho các máy chủ SMTP của Google và các máy chủ web của Gmail.
Người sử dụng các dịch vụ này, như quản trị web đang chạy các ứng dụng trên nền tảng Apps và những người dùng tương tác với Gmail, cần phải điều chỉnh các dịch vụ hỗ trợ để phòng tránh các vấn đề kỹ thuật và thời gian chết (downtime).
Ngoài ra, người sử dụng đang dùng các dịch vụ Web và client email cũ để gửi tin qua SSLv3 và RC4 sẽ không thể trao đổi tin nhắn email với cơ sở hạ tầng của Google.
"SSLv3 đã lỗi thời hơn 16 năm và có rất nhiều vấn đề. Điều này khiến Internet Engineering Task Force (IETF) quyết định loại bỏ SSLv3", các kỹ sư của Google giải thích. "RC4 là một thuật toán mã hóa 28 tuổi, đã hoạt động khá tốt. Tuy nhiên, hiện tại nó đang là mục tiêu của nhiều cuộc tấn công tại các hội nghị an ninh. IETF cũng quyết định loại bỏ RC4."
Trên thực tế, RC4 là một thuật toán mã hóa yếu, còn SSLv3 được coi là có thể chấp nhận được cho đến năm 2014, khi cuộc tấn công POODLE chuyển hướng mục tiêu đến TLS mới. Việc triển khai TLS cũng dễ có lỗ hổng.
Ban đầu, Google công bố loại bỏ SSLv3 và RC4 từ mùa thu năm ngoái nhưng không đề cập đến một thời hạn cụ thể. Trong khi đó, Google cho biết phần lớn khách hàng của hãng đã chuyển sang sử dụng các công nghệ mới hơn nên hãng không gặp khó khăn trong việc loại bỏ hỗ trợ cho cả hai tiện ích.
Nguồn: Softpedia
Người sử dụng các dịch vụ này, như quản trị web đang chạy các ứng dụng trên nền tảng Apps và những người dùng tương tác với Gmail, cần phải điều chỉnh các dịch vụ hỗ trợ để phòng tránh các vấn đề kỹ thuật và thời gian chết (downtime).
Ngoài ra, người sử dụng đang dùng các dịch vụ Web và client email cũ để gửi tin qua SSLv3 và RC4 sẽ không thể trao đổi tin nhắn email với cơ sở hạ tầng của Google.
"SSLv3 đã lỗi thời hơn 16 năm và có rất nhiều vấn đề. Điều này khiến Internet Engineering Task Force (IETF) quyết định loại bỏ SSLv3", các kỹ sư của Google giải thích. "RC4 là một thuật toán mã hóa 28 tuổi, đã hoạt động khá tốt. Tuy nhiên, hiện tại nó đang là mục tiêu của nhiều cuộc tấn công tại các hội nghị an ninh. IETF cũng quyết định loại bỏ RC4."
Trên thực tế, RC4 là một thuật toán mã hóa yếu, còn SSLv3 được coi là có thể chấp nhận được cho đến năm 2014, khi cuộc tấn công POODLE chuyển hướng mục tiêu đến TLS mới. Việc triển khai TLS cũng dễ có lỗ hổng.
Ban đầu, Google công bố loại bỏ SSLv3 và RC4 từ mùa thu năm ngoái nhưng không đề cập đến một thời hạn cụ thể. Trong khi đó, Google cho biết phần lớn khách hàng của hãng đã chuyển sang sử dụng các công nghệ mới hơn nên hãng không gặp khó khăn trong việc loại bỏ hỗ trợ cho cả hai tiện ích.
Nguồn: Softpedia