Este es el plan de Google para enterrar definitivamente el cifrado RC4 y el protocolo SSLv3

Escrito por Sergio De Luz

Hace un par de meses os informamos que el cifrado RC4 se considera vulnerable a diferentes ataques, y por tanto no es recomendable su uso en servicios web u otros que estén accesibles desde Internet. Meses más tarde la IETF consideró que el protocolo SSLv3 estaba obsoleto y que por tanto se recomienda dejar de usarlo lo antes posible. Ahora Google tiene un plan para enterrar definitivamente tanto el cifrado RC4 que ya no es seguro como el protocolo SSLv3 de Internet.

Antes de empezar a explicaros el plan de Google para enterrarlos, os recomendamos leer el artículo donde hablamos de la organización IETF y su decisión de considerar oficialmente obsoleto al protocolo SSLv3. Adam Langley es uno de los ingenieros de seguridad de la compañía y ha anunciado el plan para retirar definitivamente tanto el cifrado RC4 como el protocolo SSLv3.

Aunque no ha dado fechas definitivas del cambio, ya están empezando a planificar el cese de RC4 y SSLv3 tanto en los servidores web (frontends), en el sistema operativo Android, en los servidores SMTP de la compañía e incluso en los rastreadores web. Se espera que esto se haga realidad de manera definitiva en un plazo de unos meses (medio plazo), de hecho en Google Chrome ya no es posible conectarnos a sitios web que usan el protocolo SSLv3, ni en Mozilla Firefox tampoco ya que han. Por tanto, los sitios web o los equipos que no cumplan estas normas de seguridad simplemente dejarán de funcionar.

Langley comenta que RC4 tiene 28 años y durante todos estos años se han ido encontrando fallos graves de seguridad que incluso podría permitir comprometer una sesión TLS y descifrando la cookie de sesión.

Artículo recomendado:

Hoy en día lo recomendable es usar el protocolo TLS 1.2 con una suite de cifrado segura como TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 u otras, pero no usar ni RC4 ni tampoco MD5 o SHA1 como algoritmo de hash. Además es recomendable que en la extensión Server Name Indication se incluya el handshake que debe contener el dominio al que estamos conectados.

En RedesZone hemos realizado un completo recopilatorio de herramientas para comprobar si tus sitios web habituales cumplen con los nuevos requisitos que próximamente se impondrán en Internet (nada de RC4 ni SSLv3):

Si por seguridad quieres deshabilitar el protocolo SSLv3 en tu navegador, servidor web u otros servicios como en OpenVPN, os recomendamos acceder a DisableSSLv3 donde encontraréis la guía para conseguirlo.

Fuente > Threatpost.com

Últimos análisis

Valoración RZ
7
Valoración RZ
9
Valoración RZ
8
Valoración RZ
8
Valoración RZ
8
Valoración RZ
8
Valoración RZ
10