下一個版本的 Chrome 將默認禁用 SSLv3 支持
(我們能做的更新就是干掉它)
來自 Google 的消息:
在 Chrome 39 的下一個版本,回退到 SSLv3 的功能將默認被禁用,SSLv3 回退導致攻擊者可以強制到網站的連接使用 SSLv3 加密。而這個版本的 SSL 已經發現存在安全漏洞。一些有問題的只支持 SSLv3 的 HTTPS 服務器可能會無法使用,但解決的辦法只能是修復這些 HTTPS 服務器,另外 TLS 1.0 已經有 15 年的歷史了。
禁用 SSLv3 回退目前只會顯示錯誤信息詳情:ERR_SSL_FALLBACK_BEYOND_MINIMUM_VERSION
在 Chrome 40 我們計劃將完全禁用 SSLv3,當然現在我們會一直關注這個問題的兼容性影響范圍。Chrome 39 將會在訪問使用 SSLv3 加密時在網站網址上顯示一個黃色的鎖圖標,這些網站必須至少升級到 TLS 1.0 版本。
不過并不是說沒有黃色的鎖圖標就表示網站是 OK 的,因為可能是該網站的一些子頁面使用了 SSLv3 連接。開發者可以使用 --ssl-version-min=tls1 參數來運行 Chrome 以便測試網站是否使用 SSLv3 連接。
在
Chrome 39 中,企業策略參數 SSLVersionMin 和 SSLVersionFallbackMin 可用來控制最小的
SSL/TLS 版本和最小的回退版本。而 Chrome 40 中將可以通過 about:flags 來控制 SSL/TLS 的最小版本。
[1] https://www.openssl.org/~bodo/
[2] https://www.imperialviolet.