image

Google gaat ondersteuning SSL 3.0 en RC4 uitschakelen

vrijdag 18 september 2015, 11:11 door Redactie, 0 reacties

Google gaat op de middellange termijn de ondersteuning van SSL 3.0 en RC4 uitschakelen, wat gevolgen kan hebben voor systemen die versleuteld met de servers van Google communiceren. SSL 3.0 is inmiddels al meer dan 16 jaar oud en wordt in Google Chrome bijvoorbeeld al niet meer ondersteund.

RC4 is een uit 1987 stammend algoritme dat wordt gebruikt voor het opzetten van een versleutelde verbinding. Beide technieken worden als onveilig beschouwd. Reden voor Google om de ondersteuning van SSL 3.0 en RC4 op de frontend-servers uit te gaan schakelen, zo laat Google-engineer Adam Langley weten. De internetgigant verwacht hiermee de nodige problemen. Uit onderzoek onder de 200.000 populairste websites met HTTPS blijkt dat 58% nog steeds RC4 ondersteunt en 35% SSL 3.0.

De frontend-servers van Google worden niet alleen door internetgebruikers via hun browser bezocht. Ook veel embedded systemen alsmede allerlei servers communiceren via SSL/TLS met de servers van Google. Als Google straks met de ondersteuning van RC4 en SSL 3.0 stopt kan dit voor problemen zorgen. Daarom heeft de internetgigant vandaag een minimale TLS-standaard opgesteld waar TLS-clients aan moeten voldoen.

Het kan dan gaan om clients die TLS voor HTTPS gebruiken, maar ook om SMTP-servers (mailservers) die het voor STARTTLS gebruiken. Volgens Google zouden de nieuwe vereisten waarschijnlijk tot en met 2020 moeten meegaan. "Maar we kunnen de toekomst niet voorspellen", aldus Langley. Om organisaties te helpen is er een speciale website opgezet waarmee kan worden getest of aan een deel van de gestelde eisen wordt voldaan.

Nog geen reacties
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.