(我们能做的更新就是干掉它) 来自 Google 的消息: 在 Chrome 39 的下一个版本,回退到 SSLv3 的功能将默认被禁用,SSLv3 回退导致攻击者可以强制到网站的连接使用 SSLv3 加密。而这个版本的 SSL 已经发现存在安全漏洞
(我们能做的更新就是干掉它)
来自 Google 的消息:
在 Chrome 39 的下一个版本,回退到 SSLv3 的功能将默认被禁用,SSLv3 回退导致攻击者可以强制到网站的连接使用 SSLv3 加密。而这个版本的 SSL 已经发现存在安全漏洞。一些有问题的只支持 SSLv3 的 HTTPS 服务器可能会无法使用,但解决的办法只能是修复这些 HTTPS 服务器,另外 TLS 1.0 已经有 15 年的历史了。
禁用 SSLv3 回退目前只会显示错误信息详情:ERR_SSL_FALLBACK_BEYOND_MINIMUM_VERSION
在 Chrome 40 我们计划将完全禁用 SSLv3,当然现在我们会一直关注这个问题的兼容性影响范围。Chrome 39 将会在访问使用 SSLv3 加密时在网站网址上显示一个黄色的锁图标,这些网站必须至少升级到 TLS 1.0 版本。
不过并不是说没有黄色的锁图标就表示网站是 OK 的,因为可能是该网站的一些子页面使用了 SSLv3 连接。开发者可以使用 --ssl-version-min=tls1 参数来运行 Chrome 以便测试网站是否使用 SSLv3 连接。
在 Chrome 39 中,企业策略参数 SSLVersionMin 和 SSLVersionFallbackMin 可用来控制最小的 SSL/TLS 版本和最小的回退版本。而 Chrome 40 中将可以通过 about:flags 来控制 SSL/TLS 的最小版本。
[1] https://www.openssl.org/~bodo/ssl-poodle.pdf
[2] https://www.imperialviolet.org/2014/10/14/poodle.html
标签: 下一个 版本 Chrome 默认 禁用 SSLv3 支持
声明:本文内容来源自网络,文字、图片等素材版权属于原作者,平台转载素材出于传递更多信息,文章内容仅供参考与学习,切勿作为商业目的使用。如果侵害了您的合法权益,请您及时与我们联系,我们会在第一时间进行处理!我们尊重版权,也致力于保护版权,站搜网感谢您的分享!
