Google окончательно определилась со сроками упразднения потокового шифра RC4 и протокола SSLv3 на своих SMTP-серверах и веб-серверах Gmail. На этой неделе компания объявила, что начнет отключать поддержку через месяц, 16 июня.

Планы Google в отношении отхода от RC4 и SSLv3 обнародовал прошлой осенью ее специалист по ИБ Адам Лэнгли (Adam Langley), сославшись на слабость шифра и протокола, которая давно всеми признана. На тот момент представитель компании не располагал информацией о сроках, но подтвердил, что компания собирается снять с поддержки RC4 и SSLv3 в Chrome, Android, поисковых роботах и SMTP-серверах.

Исследователи уже много лет ищут и находят недостатки в обеих платформах. RC4, к примеру, в текущем году исполняется 29 лет, и одна из его слабостей, позволяющая расшифровать ключевую последовательность (гамму), известна на протяжении почти половины этого срока.

На прошлогодней конференции USENIX исследователи продемонстрировали атаку на RC4, позволяющую значительно сократить время расшифровки cookie-файлов. А более трех лет назад академический исследователь обозначил проблему в этом шифре, позволяющую скомпрометировать сеанс связи жертвы с сайтом при наличии TLS-защиты.

Репутацию SSLv3 сильно подорвали такие атаки, как POODLE и BEAST. Перед лицом такой угрозы ведущие вендоры браузеров оперативно отключили откат до SSLv3 в своих продуктах, но самый решительный шаг к упразднению этого протокола был сделан лишь прошлым летом, когда стандартизирующая организация IETF открыто признала SSLv3 «недостаточно безопасным» и узаконила запрет на использование этого протокола в новых приложениях.

Отметим, что Google в последнее время работает на опережение, стремясь избавиться от морально устаревших и уязвимых технологий в своих продуктах. Так, в начале текущей недели компания объявила, что к четвертому кварталу введет HTML5 на Chrome по умолчанию, а Flash можно будет включать лишь для ограниченного числа сайтов. В конце прошлого года разработчик огласил сроки прекращения поддержки сертификатов SHA-1, планируя начать этот процесс с января.

Ныне компания призывает участников сообщества Google Apps, использующих RC4 или SSLv3, перейти на более современные настройки TLS. Эти призывы адресованы в первую очередь операторам входных и выходных шлюзов, сторонних почтовых серверов и систем, использующих SMTP-релеи: такие организации, по мнению Google, могут еще долго полагаться на SSLv3.

«После этой перемены серверы, отсылающие сообщения с использованием SSLv3 и RC4, больше не смогут обмениваться почтой с SMTP-серверами Google, а некоторые пользователи устаревших и ненадежных клиентов лишатся возможности отправлять письма», — предупреждают представители компании в блоге Google Apps.

Категории: Главное, Кибероборона