Google chi tiết kế hoạch vô hiệu hóa SSLv3 và RC4

Đúng như dự đoán, Google đã chính thức thông báo ý định loại bỏ cơ chế mã hóa RC4 và giao thức SSLv3 trong tuần này. Đây là hai vấn đề bảo mật yếu được sử dụng trong thời gian dài bộc lộ nhiều nguy cơ tiềm ẩn.

Adam Langely, kĩ sư bảo mật của Google thông báo kế hoạch này vào thứ năm vừa qua. Dù thời gian thực hiện không được đề cập nhưng Langley khẳng định rằng Google sẽ dừng hỗ trợ RC4 và SSLv3 trên tất cả máy chủ front-end, Chrome, Android, webcrawler, máy chủ SMTP.

Internet Engineering Task Force – tổ chức chuyên trách kĩ thuật kết nối mạng đã bổ sung vào tài liệu chuẩn của mình rằng “SSLv3 không hề bảo mật, bất kì phiên bản TLS nào khác đều an toàn hơn SSLv3”. Trên blog của Google, Langely nhấn mạnh rằng RC4 đã 28 năm tuổi và sẽ sớm bị “khai tử”; nó đã trở thành đối tượng của nhiều cuộc tấn công, bao gồm cả xâm hại phiên làm việc TLS và giải mã cookie.

Một phần của quá trình chuyển đổi, Google cũng thông báo một tập chuẩn tối thiểu dành cho TLS client sắp tới. Google sẽ yêu cầu thiết bị phải:

• Hỗ trợ TLS 1.2 .
• Server Name Indication (SNI) mở rộng bao gồm handshake và chứa tên miền nó kết nối tới.
• Bộ mã hóa TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 hỗ trợ P-256 và con trở không nén.
• Chứng chỉ tại https://pki.google.com/root phải được tin cậy.
• Xử lý chứng chỉ có khả năng hỗ trợ DNS Subject Alternative Names

Thiết bị không đủ yêu cầu sẽ không dừng hoạt động ngay lập tức mà có kế hoạch thay đổi TLS dài hạn đến năm 2020. Chrome sẽ ngừng hỗ trợ RC4 vào phiên bản tháng 1 hoặc tháng 2 năm sau.

threatpost