Google, siguiendo los pasos de la Internet Engineering Task Force (IETF) ha anunciado finalmente que dejará de soportar los protocolos SSL v3 y RC4 en sus servidores y con el tiempo en todos sus productos como Android, Chrome, Gmail ...

lock screenshot

Podrían parecer más recientes pero tanto SSL v3 como RC4 llevan muchos años entre nosotros y ya hace tiempo que sido declarados no seguros. En el caso de SSL v3, la IETF lo declaró “no suficientemente seguro” en su documento de Internet Standards de hace tres meses prohibiendo su uso en nuevas aplicaciones. Este protocolo tiene un amplio historial de vulnerabilidades que han posibilitado ataques como BEAST o POODLE.

En lo que respecta a RC4, este sistema de cifrado se acerca ya la treintena aunque todavía representa el 50% del tráfico TLS. En este caso posiblemente la puntilla final se la hayan dado los nuevos ataques que han venido surgiendo para desencriptar el tráfico y que cada vez necesitan menos tiempo para ello, como el que analizamos hace un par de meses en cyberseguridad.net, convirtiéndolo en un sistema “poco” confiable.

Google a la vez que dejará de soportar a SSL v3 y a RC4 progresivamente ha publicado una lista de requerimientos que según comentan deberían permitir funcionar a los clientes TLS que los cumplan hasta por lo menos 2020 sin cambios adicionales. Además ha creado una web, en la que podemos comprobar si nuestro cliente está al día en estos cambios para evitar problemas.

Fuente Google