Google voorschotten SSL met de nieuwe Chrome-versies

De nieuwste versies van Google Chrome te laten zien van het bedrijf bewegende agressief verleden oudere, onveilige versies van SSL en het geven van meer informatie over de versies in gebruik is.

Een groot deel hiervan is fall-out van, de ontdekking van de POODLE bug, vorige maand, maar problemen met de oudere versies van SSL en TLS zijn bekend voor bepaalde tijd. Google’s Adam Langley zei in oktober een blog, “… alles minder dan TLS 1.2 met een AEAD modus wordt cryptografisch gebroken.

Het was in datzelfde blog dat Langley aangekondigde versnelde plannen voor SSL / TLS-ondersteuning van Google. Hij creƫerde meteen een Chrome-patch om steun te verwijderen voor terugval naar SSLv3, de enabler van de POODLE bug. Dat patch van kracht geworden in de nieuwe versie 39 van Chrome die ging gisteren op de Stable Channel. (Vreemd genoeg, de verandering werd niet opgemerkt in enige aankondiging of zelfs de changelog, maar Langley aangekondigd dat het in een tweet.)

Langley kondigde ook aan dat versie 40 standaard ondersteuning voor SSLv3 worden uitgeschakeld en dat “… [i] n tijd, SSLv3 client support zal worden uit de code verwijderd.”

Chrome 39 rolt ook out “BoringSSL,” de naam Langley’s voor hun eigen fork van SSL / TLS-code. Zij zullen blijven bijdragen aan, nemen code uit en delen van informatie met OpenSSL en LibreSSL. Het punt is om hen meer controle over welke functies gaan in Chrome te geven. Langley plannen uiteindelijk BoringSSL voor gebruik in Android en interne projecten.

Hoed topje naar Dennis Fisher op ThreatPost, in het bijzonder voor het wijzen naar de Adam Langley tweet.

De Canarische versie (41) van Chrome introduceert een aantal interessante cosmetische veranderingen. Kanarie is, per definitie, een experimentele versie, zodat deze taal zou kunnen veranderen of verdwijnen wanneer deze versie raakt de Stable Channel.

Op de Canarische bouwen Google is begonnen met het gebruik van de woorden “achterhaald” en “modern” naar implementaties van SSL / TLS te beschrijven. Onderstaande afbeelding toont twee voorbeelden

Deze taal verschijnt alleen wanneer de gebruiker verbinding eigenschappen van een SSL / TLS website onderzoekt, dus het is niets de gemiddelde gebruiker zou zien, maar het zou uiteindelijk vertalen in meer opvallende visuele aanwijzingen.

Hoed topje naar Michael Reschly op Twitter

FBI arrestaties vermeende leden van Crackas With Attitude voor het hacken van de VS Gov’t ambtenaren

WordPress dringt er bij gebruikers in staat om nu te werken om kritieke gaten in de beveiliging op te lossen

Witte Huis benoemt eerste Federal Chief Information Security Officer

Pentagon bekritiseerd voor cyber-rampenbestrijding door de overheid waakhond

Must-read: Beveiliging

Neiman Marcus: 1,1 miljoen kaarten gedrang; Opkomende veiligheid naties ‘essentieel voor de toekomst internet: Microsoft; De meeste CEO’s clueless over cyberaanvallen – en hun reactie op incidenten bewijst het; TECH PRO ONDERZOEK: IT Anti-Virus Beleid

Veiligheid; FBI arrestaties vermeende leden van Crackas With Attitude voor het hacken van de VS Gov’t ambtenaren, veiligheid, WordPress dringt er bij gebruikers in staat om nu te werken om kritieke gaten in de beveiliging vast te stellen; beveiliging; Witte Huis benoemt eerste Federal Chief Information Security Officer, veiligheid, Pentagon bekritiseerd voor cyber -emergency reactie van de overheid waakhond