不出所料，這周谷歌正式宣布準(zhǔn)備放棄支持流算法 RC4 和 SSLv3 協(xié)議，這二者都有悠久的被攻擊歷史。 該公司的一名安全工程師亞當(dāng).蘭利周四在一篇博客中宣布了該計(jì)劃。雖然沒有一個(gè)具體的時(shí)間表，但是蘭利堅(jiān)稱，谷歌會(huì)在適當(dāng)?shù)臅r(shí)段內(nèi)在其所有的前端服務(wù)器、Chrome、Android、爬蟲和 SMTP 服務(wù)器中放棄使用 RC4 和 SSLv3。

事實(shí)上，該公司宣布放棄 RC4 和 SSLv3 并不令人驚訝，國際互聯(lián)網(wǎng)工程任務(wù)組IETF在今年夏天發(fā)布的一個(gè)互聯(lián)網(wǎng)標(biāo)準(zhǔn)跟蹤文檔Internet Standards Track document中宣稱了 SSLv3 的死亡，說它“不夠安全”，而且說“任何版本的 TLS 都比 SSLv3 安全”。

如蘭利在博客中說到的，RC4 已經(jīng)用了28年了，雖然其在早期的表現(xiàn)很好，但是多年來它一直是多種攻擊的目標(biāo)，其中一些攻擊可以導(dǎo)致 TLS 會(huì)話降級(jí)和 cookie 解密。

作為這次計(jì)劃的一部分，谷歌宣布了一些 TLS 客戶端應(yīng)該具有的最低安全性標(biāo)準(zhǔn)：

必須支持 TLS 1.2在握手時(shí)必須包含服務(wù)器名字指示SNI （server name indication）擴(kuò)展，還要包含將要連接的域名必須支持帶有 P-256 和未壓縮點(diǎn)的加密套件 TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 至少要信任 https://pki.google.com/roots.pem 中的證書證書操作一定能支持 DNS 主題替代名稱SAN（Subject Alternative Name） ，并且這些主題替代名稱可以包含一個(gè)通配符作為名字最左邊的標(biāo)簽

蘭利說：不滿足需求的設(shè)備不會(huì)很快就停止工作，但是會(huì)受到 TLS 變化的影響，這可能持續(xù)到2020年。

“如果你的 TLS 客戶端、web 服務(wù)器或者郵件服務(wù)器使用 SSLv3 或 RC4，雖然幾年前就該更新了，不過現(xiàn)在更新總比不更新好。然而要注意，你現(xiàn)在使用 RC4 并不意味著你的客戶端或網(wǎng)站就無法工作，TLS 會(huì)協(xié)商加密算法，但是如果你只支持 RC4 那就要出問題了。”，蘭利說。

蘭利在這個(gè)月早些時(shí)候發(fā)到 security@chromium.org　郵件列表的一封帖子中宣布了廢棄 RC4 的大致計(jì)劃。確認(rèn)這個(gè)算法會(huì)在將來的 Chrome 構(gòu)建中禁用，可能會(huì)在 2016 年一、二月穩(wěn)定。該公司也已經(jīng)做了一些廢棄 SSLv3 的工作：隨著取消 Chrome 中的 SSLv3 降級(jí)支持， POODLE 攻擊就會(huì)失效，該公司也會(huì)逐步淘汰 SHA-1 算法。