下一个版本的 Chrome 将默认禁用 SSLv3 支持
(我们能做的更新就是干掉它)
来自 Google 的消息:
在 Chrome 39 的下一个版本,回退到 SSLv3 的功能将默认被禁用,SSLv3 回退导致攻击者可以强制到网站的连接使用 SSLv3 加密。而这个版本的 SSL 已经发现存在安全漏洞。一些有问题的只支持 SSLv3 的 HTTPS 服务器可能会无法使用,但解决的办法只能是修复这些 HTTPS 服务器,另外 TLS 1.0 已经有 15 年的历史了。
禁用 SSLv3 回退目前只会显示错误信息详情:ERR_SSL_FALLBACK_BEYOND_MINIMUM_VERSION
在 Chrome 40 我们计划将完全禁用 SSLv3,当然现在我们会一直关注这个问题的兼容性影响范围。Chrome 39 将会在访问使用 SSLv3 加密时在网站网址上显示一个黄色的锁图标,这些网站必须至少升级到 TLS 1.0 版本。
不过并不是说没有黄色的锁图标就表示网站是 OK 的,因为可能是该网站的一些子页面使用了 SSLv3 连接。开发者可以使用 --ssl-version-min=tls1 参数来运行 Chrome 以便测试网站是否使用 SSLv3 连接。
在 Chrome 39 中,企业策略参数 SSLVersionMin 和 SSLVersionFallbackMin 可用来控制最小的 SSL/TLS 版本和最小的回退版本。而 Chrome 40 中将可以通过 about:flags 来控制 SSL/TLS 的最小版本。
[1] https://www.openssl.org/~bodo/
[2] https://www.imperialviolet.