Mark your calendars: Google will disable support for the RC4 stream cipher and the SSLv3 protocol on its SMTP servers and Gmail servers on June 16.
截止日期后,Google的SMTP服务器将不再通过SSLV3和RC4发送消息的服务器交换邮件。在该日期之后,用户仍使用旧的和不安全的邮件客户端无法使用Google的SMTP服务器发送邮件。
大多数Google Apps组织已经停止使用RC4或SSLV3,但是较旧的系统的组织有一个月以更新现代运输层安全配置。但是,仍然有许多系统使用SSLV3,包括使用SMTP继电器的入站/出站网关,第三方电子邮件器和系统。管理员应考虑尽快将其完全过渡到较新的标准。
“ SSLV3已经过时了16年以上,并且充满了已知问题,以至于互联网工程工作组[IETF]决定不再使用它。RC4是一个28岁的密码,做得非常好,但现在是安全会议上多次攻击的主题。IETF已决定RC4还保证了一份声明,也不再使用它。” Google的安全工程师Adam Langley去年秋天说最初的公告。
广泛使用的RC4密码中的弱点是众所周知的。多年来,研究人员已经证明,随着加工能力更快的速度更快的计算机,对RC4密码的攻击比以往任何时候都更加实用和可行。尽管对RC4没有任何公开可行的攻击,但Microsoft,Mozilla和Google已经采取了步骤从其浏览器中删除密码。
TLS通常试图使用强密码来协商握手,但是如果试图连接的客户端使用较弱的协议,则TLS将落后于较不健壮的替代方案。回到浏览器仍支持RC4时,他们使用了弱密码,当时从TLS 1.2/1.1降至TLS 1.0。浏览器现在完全使连接失败。下个月邮件服务器也会发生同样的情况。
安全套接字3.0层定义为1996年,被认为已过时,鼓励组织过渡到更安全的运输层安全性(TLS)协议。研究人员发现,贵宾犬攻击会影响SSL中的所有块密码,这意味着SSLV3也受到影响。根据SSL Pulse的说法,将近3%的站点仍然容易受到攻击,可利用贵宾犬的攻击。
如果不再能够发送邮件的前景不足以提示更新,请考虑从SSL转移到TLS(最好是TLS 1.2或更高版本),也意味着同时升级到SHA-2 HASHING算法。截至2017年1月1日,Google将开始使用SHA-1证书阻止站点和应用程序,因此TLS过渡实际上会一次删除两种过时的技术。
这个故事是“ Google到SMTP服务器的Google到SMTP服务器的RC4,Gmail”最初由Infoworld 。