A Google IMAP/POP is búcsúzik az elavult biztonsági protokolloktól
A keresőóriás végre teljesen kivezeti a jó ideje veszélyesnek minősített SSLv3 és az RC4 használatát.
Folytatja az SSLv3 és RC4 protokollok fokozatos nyugdíjazását a Google, az elavult biztonsági megoldások támogatását a keresőóriás a Gmail IMAP, illetve POP levelezőkliensekből is kivezeti, idén június 16-tal kezdve. A változást nem zúdítja azonnal a felhasználókra a vállalat, az több lépcsőben lép érvénybe, a megadott dátumot követően akár több mint harminc napra is szükség lehet, mire a cég teljesen elzárja a Gmailt az SSLv3 és RC4 kapcsolatok elől. Az elavult protokollok leváltását mindenesetre nem érdemes halogatni, a leállások biztos elkerülése végett mindenkinek javasolt a lehető leghamarabb frissíteni az érintett klienseket.
Szerencsére a váltás nem sokaknak okoz majd fejfájást, hiszen a legtöbb email kliens, ha van rá lehetősége, egy ideje már a modern TLS kapcsolatokat használja. Amennyiben valaki még mindig a fenti protokollokat alkalmazó IMAP vagy POP kliensekkel dolgozna, június 16. után ne lepődjön meg ha hibaüzenetekbe fut, a keresőóriás ezzel igyekszik mindenkit emlékeztetni a mielőbbi frissítésre - kiváltképp ha egy kliens csak az elavult protokollokat támogatná.
Ünnepi mix a bértranszparenciától a kódoló vezetőkig Négy IT karrierrel kapcsolatos, érdekes témát csomagoltunk a karácsonyfa alá.
A vállalat a tervek szerint teljes szolgáltatáspalettáján kivezeti az SSLv3-at, illetve RC4-et - ezt persze senki ne várja meg, ha még nem tette volna, minél előbb kezdje meg az átállást a modern alternatívákra, a Google által tavaly ősszel, a két protokoll nyugdíjazásának első bejelentésekor kijelölteknek megfelelően.
Az IETF (Internet Engineering Task Force) egyébként már egy évvel ezelőtt elavultnak és veszélyesnek minősítette az SSLv3-at, amely mára egyáltalán nem nyújt védelmet a modern támadások ellen. A protokoll ezzel lekerült az ajánlottak listájáról, és "MUST NOT" címkét, azaz teljes tiltást kapott a szervezet részéről - de az iránymutatáson túl a szabvány gyengeségét a 2014-es POODLE sebezhetőség is jól mutatja, amellyel egy fertőzött Wi-Fi hotspot (netán az internetszolgáltató és a hatóságok) gyengébb titkosításra veheti rá a kommunikáló klienst és szervert, amely aztán egyszerűen feltörhető.
Ami az RC4-et illeti, az algoritmus már évekkel ezelőtt sem számított biztonságosnak, ahogy arra a The Register is rámutat, a titkosítás már tavaly órák alatt feltörhető volt.