Szerző: Hlács Ferenc

2016. június 09. 16:13:00

A Google IMAP/POP is búcsúzik az elavult biztonsági protokolloktól

A keresőóriás végre teljesen kivezeti a jó ideje veszélyesnek minősített SSLv3 és az RC4 használatát.

Folytatja az SSLv3 és RC4 protokollok fokozatos nyugdíjazását a Google, az elavult biztonsági megoldások támogatását a keresőóriás a Gmail IMAP, illetve POP levelezőkliensekből is kivezeti, idén június 16-tal kezdve. A változást nem zúdítja azonnal a felhasználókra a vállalat, az több lépcsőben lép érvénybe, a megadott dátumot követően akár több mint harminc napra is szükség lehet, mire a cég teljesen elzárja a Gmailt az SSLv3 és RC4 kapcsolatok elől. Az elavult protokollok leváltását mindenesetre nem érdemes halogatni, a leállások biztos elkerülése végett mindenkinek javasolt a lehető leghamarabb frissíteni az érintett klienseket.

Szerencsére a váltás nem sokaknak okoz majd fejfájást, hiszen a legtöbb email kliens, ha van rá lehetősége, egy ideje már a modern TLS kapcsolatokat használja. Amennyiben valaki még mindig a fenti protokollokat alkalmazó IMAP vagy POP kliensekkel dolgozna, június 16. után ne lepődjön meg ha hibaüzenetekbe fut, a keresőóriás ezzel igyekszik mindenkit emlékeztetni a mielőbbi frissítésre - kiváltképp ha egy kliens csak az elavult protokollokat támogatná.

Machine learning és Scrum alapozó képzések indulnak! (x) A HWSW októberben induló gyakorlatorientált, 10 alkalmas, 30 órás online képzéseire most early bird kedvezménnyel lehet regisztrálni!

A vállalat a tervek szerint teljes szolgáltatáspalettáján kivezeti az SSLv3-at, illetve RC4-et - ezt persze senki ne várja meg, ha még nem tette volna, minél előbb kezdje meg az átállást a modern alternatívákra, a Google által tavaly ősszel, a két protokoll nyugdíjazásának első bejelentésekor kijelölteknek megfelelően.

Az IETF (Internet Engineering Task Force) egyébként már egy évvel ezelőtt  elavultnak és veszélyesnek minősítette az SSLv3-at, amely mára egyáltalán nem nyújt védelmet a modern támadások ellen. A protokoll ezzel lekerült az ajánlottak listájáról, és "MUST NOT" címkét, azaz teljes tiltást kapott a szervezet részéről - de az iránymutatáson túl a szabvány gyengeségét a 2014-es POODLE sebezhetőség is jól mutatja, amellyel egy fertőzött Wi-Fi hotspot (netán az internetszolgáltató és a hatóságok) gyengébb titkosításra veheti rá a kommunikáló klienst és szervert, amely aztán egyszerűen feltörhető.

Ami az RC4-et illeti, az algoritmus már évekkel ezelőtt sem számított biztonságosnak, ahogy arra a The Register is rámutat, a titkosítás már tavaly órák alatt feltörhető volt.

Az október 25-26-án rendezett eseményen közel ötven nemzetközi előadó is színpadra áll, 16 országból - a leggyorsabb jegyvásárlók pedig ESP32-alapú hacking badge-et is kapnak!

a címlapról