URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 104780
[ Назад ]

Исходное сообщение
"Google прекращает поддержку SSLv3 и RC4 и повышает требовани..."

Отправлено opennews , 18-Сен-15 09:29 
Компания Google анонсировала (http://googleonlinesecurity.blogspot.ru/2015/09/disabling-ss... скорое прекращение поддержки протокола SSLv3 и алгоритма RC4, которые не отвечают современным требованиям безопасности и подвержены нескольким видам атак. На первом этапе поддержка  SSLv3 и RC4 будет отключена на фронтэнд-серверах, после чего отключение распространится на все продукты Google, включая Chrome (SSLv3 в Chrome уже отключен, в очереди на отключение RC4), Android, поисковые боты и SMTP-серверы. По статистике SSL Pulse (https://www.trustworthyinternet.org/ssl-pulse/) из 200 тысяч крупнейших HTTPS-сайтов 42% уже отключили RC4 и 65% отключили SSLv3.

Кроме того, планируется повысить требования к параметрам установки соединения HTTPS, например, для работы с сайтами Google по защищённому каналу связи на стороне клиента станет обязательной поддержка TLS 1.2, наличие расширения SNI (https://en.wikipedia.org/wiki/Server_Name_Indication) (Server Name Indication) и присутствие набора шифров TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256. Доверие будет ограничено корневыми сертификтами из списка pki.google.com/roots.pem (https://pki.google.com/roots.pem), при обработке сертификатов обязательной будет поддержка  DNS SAN (https://en.wikipedia.org/wiki/SubjectAltName) (Subject Alternative Names). Для тестирования соответствия клиентского ПО новым требованиям Google подготовлена страница cert-test.sandbox.google.com (https://cert-test.sandbox.google.com/).


URL: http://googleonlinesecurity.blogspot.ru/2015/09/disabling-ss...
Новость: http://www.opennet.me/opennews/art.shtml?num=42982


Содержание

Сообщения в этом обсуждении
"Google прекращает поддержку SSLv3 и RC4 и повышает требовани..."
Отправлено iPony , 18-Сен-15 09:29 
> Для тестирования соответствия клиентского ПО новым требованиям Google подготовлена страница

Проверял разные браузеры на разных ОС.
IE11 на вындовз 7 не проходит.


"Google прекращает поддержку SSLv3 и RC4 и повышает требовани..."
Отправлено анончег , 18-Сен-15 09:39 
IE11 на Win10 проходит

"Google прекращает поддержку SSLv3 и RC4 и повышает требовани..."
Отправлено Аноним , 18-Сен-15 10:53 
Надеюсь это была шутка? =)

"Google прекращает поддержку SSLv3 и RC4 и повышает требовани..."
Отправлено Анонимус_б6_выпуск_3 , 18-Сен-15 10:55 
нет, не шутка

"Google прекращает поддержку SSLv3 и RC4 и повышает требовани..."
Отправлено daemontux , 18-Сен-15 11:24 
> нет, не шутка

Подтверждаю. На 11 ишаке не работает.


"Google прекращает поддержку SSLv3 и RC4 и повышает требовани..."
Отправлено iZEN , 18-Сен-15 11:50 
> IE11 на вындовз 7 не проходит.

Не обновляется, видимо - пламенный привет от Windows 10 устаревшим системам.


"Google прекращает поддержку SSLv3 и RC4 и повышает требовани..."
Отправлено sadsad , 18-Сен-15 12:31 
Win7 ещё поддерживается.

"Google прекращает поддержку SSLv3 и RC4 и повышает требовани..."
Отправлено iPony , 18-Сен-15 13:21 
Да, но фаза основной поддержки закончилась, щас на расширенной.

"Google прекращает поддержку SSLv3 и RC4 и повышает требовани..."
Отправлено Аноним , 18-Сен-15 14:18 
> IE11 на вындовз 7 не проходит.

Открывал в vimb, xombrero и прочей маргинальщине на webkit-gtk2
> Client test successful.

Интересно, как клоуны, ксении и другие, идейные или проплаченные пиарщики  "качества" проприетарщины, собираются опять впарить "когда вас за ваши же деньги еще и ... " за фичу :)


"Google прекращает поддержку SSLv3 и RC4 и повышает требовани..."
Отправлено username , 20-Сен-15 11:06 
Ты попутал немного, веб страницы нужно открывать веб браузером, осел к ним не относится.

"Google прекращает поддержку SSLv3 и RC4 и повышает требовани..."
Отправлено Аноним , 18-Сен-15 11:19 
>TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256

Почему именно этот а не более безопасный GOST?
Совпадение? Не думаю.


"Google прекращает поддержку SSLv3 и RC4 и повышает требовани..."
Отправлено Аноним , 18-Сен-15 12:23 
GOST содержит уязвимости.

"Google прекращает поддержку SSLv3 и RC4 и повышает требовани..."
Отправлено Аноним , 18-Сен-15 12:47 
gost содержит (родные) уязвимости!

Еще проще получить данные подав заявку в ФСБ на расшифровку


"Google прекращает поддержку SSLv3 и RC4 и повышает требовани..."
Отправлено Аноним , 18-Сен-15 14:11 
Сам GOST как алгоритм уязвимости не содержит, иначе бы его не стандартизовали и не использовали. Там проблема в возможных настройках алгоритма.

"Google прекращает поддержку SSLv3 и RC4 и повышает требовани..."
Отправлено pavlinux , 18-Сен-15 14:22 
> Сам GOST как алгоритм уязвимости не содержит,

Доказательства есть?


"Google прекращает поддержку SSLv3 и RC4 и повышает требовани..."
Отправлено Аноним , 18-Сен-15 14:44 
>> Сам GOST как алгоритм уязвимости не содержит,
> Доказательства есть?

Докажи что содержит


"Google прекращает поддержку SSLv3 и RC4 и повышает требовани..."
Отправлено pavlinux , 18-Сен-15 15:20 
>>> Сам GOST как алгоритм уязвимости не содержит,
>> Доказательства есть?
> Докажи что содержит

Стрелки не переводи.  Ты заявил - ты доказывай.



"Google прекращает поддержку SSLv3 и RC4 и повышает требовани..."
Отправлено Аноним , 18-Сен-15 21:35 
в гугле забанили? не так давно даже тут пробегала статья о оценке криптостойкости ГОСТ 28147.

"Google прекращает поддержку SSLv3 и RC4 и повышает требовани..."
Отправлено Аноним , 18-Сен-15 21:47 
Сам не переводи, читай всё обсуждение, а не только последнее сообщение.

"Google прекращает поддержку SSLv3 и RC4 и повышает требовани..."
Отправлено Аноним , 18-Сен-15 19:31 
> Почему именно этот а не более безопасный GOST?

Наверное, потому что никто не собирается гадать какие таблицы замены хорошие, а какие нет. Да и вообще, потомки DES'а нынче не в моде.

> Совпадение? Не думаю.

Ты умеешь думать?


"Google прекращает поддержку SSLv3 и RC4 и повышает требовани..."
Отправлено Аноним , 18-Сен-15 21:49 
>> Почему именно этот а не более безопасный GOST?
> Наверное, потому что никто не собирается гадать какие таблицы замены хорошие, а
> какие нет.

Вроде их собирались тоже добавить в стандарт, не сделано пока?


"Google прекращает поддержку SSLv3 и RC4 и повышает требовани..."
Отправлено iZEN , 18-Сен-15 11:48 
https://cert-test.sandbox.google.com/
Firefox 40.0.3, IE 11.0.10240.16431, Edge 20.10240.16384.0 - Client test successful.

"Google прекращает поддержку SSLv3 и RC4 и повышает требовани..."
Отправлено Аноним , 18-Сен-15 20:05 
Opera
Версия:
12.17
Сборка:
1863
Платформа:
x64
Система:
Windows 7

Безопасное подключение: критическая ошибка (49) с сервера

https://cert-test.sandbox.google.com/

Сертификат правильный, но доступ запрещен.


"Google прекращает поддержку SSLv3 и RC4 и повышает требовани..."
Отправлено Аноним , 18-Сен-15 13:48 
**присутствие** набора шифров TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 ? видать какой-то из компонентов легко проламывается и какбы не эти хвалёные EC.

"Google прекращает поддержку SSLv3 и RC4 и повышает требовани..."
Отправлено Аноним , 18-Сен-15 19:33 
> **присутствие** набора шифров TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 ? видать какой-то
> из компонентов легко проламывается и какбы не эти хвалёные EC.

Учитывая что там именно NIST'овские кривые, а не 25519 например - вот это может быть.


"Google прекращает поддержку SSLv3 и RC4 и повышает требовани..."
Отправлено Аноним , 18-Сен-15 14:29 
>> для работы с сайтами Google по защищённому каналу связи на стороне клиента станет обязательной ... наличие расширения SNI

я правильно понимаю, что это блокирует устройствам на Android 2.x доступ к серверам Google?


"Google прекращает поддержку SSLv3 и RC4 и повышает требовани..."
Отправлено pavlinux , 18-Сен-15 14:37 
Links 2.8, SSL Error

"Google прекращает поддержку SSLv3 и RC4 и повышает требовани..."
Отправлено An2 , 18-Сен-15 14:53 
links 2.11
client test successful

"Google прекращает поддержку SSLv3 и RC4 и повышает требовани..."
Отправлено pavlinux , 18-Сен-15 14:39 
Да они долб....ы. Thunderbird, The Bat!,... стали банить (если работать по IMAPs/POP3s/SSMTP)  

"Google прекращает поддержку SSLv3 и RC4 и повышает требовани..."
Отправлено iPony , 18-Сен-15 14:49 
> Thunderbird стали банить

Врёшь же.


"Google прекращает поддержку SSLv3 и RC4 и повышает требовани..."
Отправлено pavlinux , 18-Сен-15 15:00 
>> Thunderbird стали банить
> Врёшь же.

https://www.google.com/settings/security/lesssecureapps
https://support.google.com/accounts/answer/6010255?hl=ru

> "Как разрешить ненадежным приложениям доступ к аккаунту
> Google может блокировать приложения и устройства, которые пытаются
> получить доступ к вашему аккаунту и при этом не отвечают современным
>стандартам безопасности. Это позволяет нам защитить ваш аккаунт.
> Вот некоторые примеры таких приложений и устройств:
> почтовый клиент для iPad на платформе iOS 6 и ниже;
> почтовый клиент для телефонов на платформе Windows ниже версии 8.1;
> отдельные почтовые программы для компьютеров, например Microsoft Outlook или Mozilla Thunderbird..."

Неделю-две назад видимо переключили в режим по-умолчанию.



"Google прекращает поддержку SSLv3 и RC4 и повышает требовани..."
Отправлено iPony , 18-Сен-15 15:03 
https://www.mozilla.org/en-US/thunderbird/38.0beta/releasenotes/

GMail supports OAuth2 authentication, removing the need to manually select "allow less secure applications" in Google options for the account.