谷歌公布放弃 RC4 和 SSLv3 的详细计划

不出所料，这周谷歌正式宣布准备放弃支持流算法 RC4 和 SSLv3 协议，这二者都有悠久的被攻击历史。

该公司的一名安全工程师亚当.兰利周四在一篇博客中宣布了该计划。虽然没有一个具体的时间表，但是兰利坚称，谷歌会在适当的时段内在其所有的前端服务器、Chrome、Android、爬虫和 SMTP 服务器中放弃使用 RC4 和 SSLv3。

事实上，该公司宣布放弃 RC4 和 SSLv3 并不令人惊讶，国际互联网工程任务组（IETF）在今年夏天发布的一个互联网标准跟踪文档（Internet Standards Track document）中宣称了 SSLv3 的死亡，说它“不够安全”，而且说“任何版本的 TLS 都比 SSLv3 安全”。

如兰利在博客中说到的，RC4 已经用了28年了，虽然其在早期的表现很好，但是多年来它一直是多种攻击的目标，其中一些攻击可以导致 TLS 会话降级和 cookie 解密。

作为这次计划的一部分，谷歌宣布了一些 TLS 客户端应该具有的最低安全性标准：

1. 必须支持 TLS 1.2
2. 在握手时必须包含服务器名字指示（SNI （server name indication））扩展，还要包含将要连接的域名
3. 必须支持带有 P-256 和未压缩点的加密套件 TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 
4. 至少要信任 https://pki.google.com/roots.pem 中的证书
5. 证书操作一定能支持 DNS 主题替代名称（SAN（Subject Alternative Name） ），并且这些主题替代名称可以包含一个通配符作为名字最左边的标签

兰利说：不满足需求的设备不会很快就停止工作，但是会受到 TLS 变化的影响，这可能持续到2020年。

“如果你的 TLS 客户端、web 服务器或者邮件服务器使用 SSLv3 或 RC4，虽然几年前就该更新了，不过现在更新总比不更新好。然而要注意，你现在使用 RC4 并不意味着你的客户端或网站就无法工作，TLS 会协商加密算法，但是如果你只支持 RC4 那就要出问题了。”，兰利说。

兰利在这个月早些时候发到 security@chromium.org  邮件列表的一封帖子中宣布了废弃 RC4 的大致计划。确认这个算法会在将来的 Chrome 构建中禁用，可能会在 2016 年一、二月稳定。该公司也已经做了一些废弃 SSLv3 的工作：随着取消 Chrome 中的 SSLv3 降级支持， POODLE 攻击就会失效，该公司也会逐步淘汰 SHA-1 算法。