谷歌宣布這是最后一次調(diào)整舊有Web安全協(xié)議。具體而言，谷歌計劃禁用傳輸層安全協(xié)議SSLv3以及前端服務(wù)器的RC4流密碼，最終，擴(kuò)展至其旗下所有軟件，包括Chrome、Android、郵件服務(wù)器以及Web爬蟲程序。供互聯(lián)網(wǎng)任務(wù)工作任務(wù)組使用的RC4和SSLv3均被認(rèn)為是不安全的。

[[149922]]

谷歌在其一篇博客中指出SSLv3已經(jīng)過時了16年，雖然RC4還沒有面臨相同的問題，但最近儼然已成了攻擊研究的主要目標(biāo)。考慮到其強(qiáng)度，事實上早在2015年2月IETF就已禁止在TLS中使用RC4了。SSLv3實乃歷史遺留問題，而最近因為POODLE攻擊遭到多方封殺。

谷歌認(rèn)為尚有許多網(wǎng)站和瀏覽器用戶仍在使用這些有漏洞的協(xié)議。根據(jù)博客中的SSL Pulse調(diào)查顯示，在前200，000 HTTPS網(wǎng)站中58%仍置有RC4，34%仍置有SSLv3。

根據(jù)Chase Cunningham博士的說法，沒有禁用SSLv3的網(wǎng)站會處于很多攻擊的危險之下。

"留有這些SSL運行的每個網(wǎng)站將處于中間人和下載型攻擊的威脅下，因此，訪問該網(wǎng)站的任何人都大有可能違背規(guī)則或是遭遇攔截，"Cunningham說。"對于擁有以這類事情知名的網(wǎng)站的企業(yè)來說，這并不是什么好事。"

谷歌稱其將緩慢推行在其前端服務(wù)器禁用SSLv3和RC4，并最終擴(kuò)大范圍至所有產(chǎn)品，包括Chrome瀏覽器。盡管谷歌指出得是你的服務(wù)器依賴這些中的某個協(xié)議，不過TLS用戶應(yīng)該能夠自動根據(jù)這些改變做出調(diào)整。

相反，谷歌在服務(wù)器識別、密碼套件、信任證書以及證書處理方面為其TLS 1.2設(shè)置了最小的安全要求。為了使這些轉(zhuǎn)換更容易，谷歌專門準(zhǔn)備了一款測試工具。

Cunningham稱谷歌所要做的這些改變并不繁重，甚至對個別企業(yè)來說相當(dāng)輕松，但總體而言卻可以發(fā)揮很大的作用。"我們企業(yè)將在周末做出整個轉(zhuǎn)換。擁有一個像樣的IT部門的企業(yè)能夠在很短的時間內(nèi)完成，"Cunningham說道。"這是項大工程，至少從舊有標(biāo)準(zhǔn)升級鏈這只是個開始。這是沿著正確的方向邁出的一小步，但彌足珍貴。"