谷歌今天宣布计划禁用Chrome 39中SSL协议的第3版的后退,并在Chrome 40中完全删除SSL 3.0。该决定遵循该公司于10月14日在SSL 3.0中披露了严重的安全漏洞,将其被称为填充镶嵌的遗产加密(贵宾犬)。

在默认情况下,Mozilla在同一天禁用SSL 3.0的决定,在Firefox 34中将于11月25日发布,谷歌已经奠定了它的Chrome计划。鉴于谷歌安全团队的BodoMöller当时说:“在未来几个月中,我们希望从我们的客户产品中完全删除对SSL 3.0的支持。”

Google解释网站管理员应注意这些即将到来的更改:

仅需要SSLv3-EXPRUBLE以支持MADGY HTTPS服务器。仅支持SSLv3的服务器将继续工作(现在),但某些错误服务器可能会停止工作。这些情况下的答案是修复服务器 - TLS 1.0此时近15岁。

在Chrome的较新的非稳定版本(金丝雀,DEV和Beta频道,对于遵循浏览器开发的人)已经禁用了回归选项。谷歌表示已经没时间将特定的错误消息翻译成所有语言Chrome支持。因此,当浏览器遇到错误的服务器时,它将显示一条通用错误消息,并切换详细信息选项将显示ERR_SSL_FALLBACK_BEYOND_MINIPUP_VERSION。

目前,谷歌还计划在Chrome 40中完全禁用SSL 3.0,但如果出现太多的兼容性问题,它可能会延迟。同时,Chrome 39将在SSL 3.0站点的锁定图标上显示一个黄色徽章,在释放Chrome 40之前需要更新到至少TLS 1.0(开发人员可以使用-sl-version-min = tls1运行chrome为了测试他们的网站)。

企业可以使用策略选项SSLversionMin和SSLversionFallackmin来控制Chrome 39中的最小后退版本和最小SSL / TLS版本,以及Chrome 40中的标志。Google计划最终从Chrome的代码中删除SSL 3.0客户端支持,此时这些解决方法不起作用,但它不会准确地说出这一点。

说到时间,约会每六周更新铬。正如我们之前所指出的那样,Chrome 39应该下个月到达,这意味着Chrome 40将于今年年底或2015年初到达。

与Mozilla不同,Google不提供其Chrome发布的确切日期。虽然很高兴看到公司承诺摆脱SSL 3.0,但值得注意的是,Mozilla更快地反应了,其研究人员甚至没有找到缺陷的研究。

然而,它仍然比微软更好,昨天宣称它是“在即可禁用IE,禁用SSL 3.0中的回退,禁用SSL 3.0,在即将到来的几个月内和微软在线服务。”没有提供特定的IE版本或时间范围,尽管该公司确实提供临时一键单击“为我修复”解决方案。