tjmxf
2015-10-08 16:33:50 +08:00
日前, Google 宣布将在 Chrome 39 中禁用降级使用 SSL 3.0 协议的功能,并将在 Chrome 40 中彻底移除 SSL 3.0 。此前, Mozilla 也已经宣布将在 11 月 25 日发布的 Firefox 34 中默认禁用 SSL 3.0 。
移除 SSL 3.0 Chrome 40 浏览器功能调整
Google Chrome
SSL 3.0 早被 TLS 1.0/1.1/1.2 取代,但大部分浏览器仍然向后兼容 SSL 3.0 ,默认情况下会使用 TLS ,但如果协议握手失败,会尝试改用 SSL 3.0 。
Google 安全研究人员在 SSL 3.0 协议中发现了一个被称为 Padding Oracle On Downgraded Legacy Encryption (POODLE)的安全漏洞,允许攻击者计算出加密通讯的明文内容。
SSL 协议位于 TCP/IP 协议与各种应用层协议之间,为数据通讯提供安全支持。 SSL 协议可分为两层: SSL 记录协议( SSL Record Protocol ):它建立在可靠的传输协议(如 TCP )之上,为高层协议提供数据封装、压缩、加密等基本功能的支持。
SSL 握手协议( SSL Handshake Protocol ):它建立在 SSL 记录协议之上,用于在实际的数据传输开始前,通讯双方进行身份认证、协商加密算法、交换加密密钥等。