资讯频道 非技术
阅读更多

1顶
1踩

非技术

转载新闻 下一个版本的Chrome 将默认禁用SSLv3支持

2014-10-31 10:15 by 副主编 mengyidan1988 评论(0) 有9724人浏览
chrome 谷歌
来自谷歌消息:在Chrome 39的下一个版本,回退到 SSLv3 的功能将默认被禁用,SSLv3 回退导致攻击者可以强制到网站的连接使用 SSLv3 加密。而这个版本的 SSL 已经发现存在安全漏洞。一些有问题的只支持 SSLv3 的 HTTPS 服务器可能会无法使用,但解决的办法只能是修复这些 HTTPS 服务器,另外 TLS 1.0 已经有 15 年的历史了。

禁用 SSLv3 回退目前只会显示错误信息详情:ERR_SSL_FALLBACK_BEYOND_MINIMUM_VERSION

在 Chrome 40 我们计划将完全禁用 SSLv3,当然现在我们会一直关注这个问题的兼容性影响范围。Chrome 39 将会在访问使用 SSLv3 加密时在网站网址上显示一个黄色的锁图标,这些网站必须至少升级到 TLS 1.0 版本。

不过并不是说没有黄色的锁图标就表示网站是 OK 的,因为可能是该网站的一些子页面使用了 SSLv3 连接。开发者可以使用 --ssl-version-min=tls1 参数来运行 Chrome 以便测试网站是否使用 SSLv3 连接。

在 Chrome 39 中,企业策略参数 SSLVersionMin 和 SSLVersionFallbackMin 可用来控制最小的 SSL/TLS 版本和最小的回退版本。而 Chrome 40 中将可以通过 about:flags 来控制 SSL/TLS 的最小版本。
来自: 开源中国
1
1
评论 共 0 条 请登录后发表评论

发表评论

您还没有登录,请您登录后再发表评论

相关推荐

Global site tag (gtag.js) - Google Analytics