Llegamos a ustedes gracias a:



Noticias

Google va a cerrar SSLv3 y RC4 en los servidores SMTP y Gmail

[24/05/2016] Marquen sus calendarios: Google deshabilitará el soporte para el código cifrado de stream RC4 y el protocolo SSLv4 en sus servidores SMTP y servidores Gmail el 16 de junio.

Luego de ese plazo, los servidores SMTP de Google ya no intercambiarán correo con los servidores que envían mensajes vía SSLv3 y RC4. Los usuarios que aún usan estos clientes de correo antiguos e inseguros no podrán enviar correo usando los servidores SMTP de Google luego de esa fecha.

La mayoría de las organizaciones de Google Apps ya han dejado de usar RC4 o SSLv3, pero aquellos que se encuentran en sistemas antiguos tienen un mes para actualizarse a la moderna configuración de Transport Layer Security. Sin embargo, existen suficientes sistemas que aún usan SSLv3 incluyendo los gateways de entrada/salida, correos de terceros y sistemas que usan el relay SMTP. Los administradores deberían considerar pasar plenamente a los estándares más nuevos tan pronto como sea posible.

"SSLv3 ha sido obsoleto por más de 16 años y está tan lleno de problemas que se conocen que la Internet Engineering Task Force (IETF) ha decidido que ya no se debe usar. RC4 es un código cifrado de 28 años de antigüedad que ha trabajado significativamente bien, pero ahora es objeto de varios ataques en las conferencias de seguridad. El IETF ha decidido que RC4 también garantiza una declaración que tampoco ya no debe usarse, afirmó Adam Langley, ingeniero de seguridad de Google, el pasado otoño [septentrional] como parte del anuncio inicial.

Las debilidades del ampliamente usado código cifrado RC4 son bien conocidas. Los investigadores han demostrado a lo largo de los años que a medida que las computadoras han conseguido más poder de procesamiento, los ataques contra el código cifrado RC4 se han hecho más prácticos y viables que nunca. Aunque no existen ataques viables públicamente conocidos contra RC4, Microsoft, Mozilla y Google ya han tomado medidas para retirar el código cifrado de sus navegadores.

Por lo general, TLS intenta negociar un apretón de manos [handshake] usando un código cifrado fuerte, pero si el cliente que intenta conectarse usa un protocolo débil, TLS retrocederá hacia alternativas menos robustas. Antes, cuando los navegadores aún soportaban RC4, usaban el código cifrado débil cuando retrocedían de TLS 1.2/1.1 a TLS 1.0. Ahora los navegadores no realizan la conexión de ninguna manera. Lo mismo pasará para los servidores de correo el próximo mes.

Secure Sockets Layer 3.0, definido en 1996, se considera obsoleto, a las organizaciones se les anima a pasar al protocolo Transport Layer Security (TLS) que es más seguro. Los investigadores encontraron que el ataque POODLE afecta a todos los códigos cifrados de bloque en SSL, lo cual significa que el SSLv3 también se vio afectado. De acuerdo a SSL Pulse, casi el 3% de los sitios aún son vulnerables y explotables al ataque de POODLE.

Si la posibilidad de ya no poder enviar correo no es suficiente como para animarlo a actualizarse, piense en que pasar de SSL a TLS (preferiblemente TLS 1.1 o posterior) significa también realizar un upgrade al algoritmo de hashing SHA-2. Google comenzará a bloquear los sitios y aplicaciones que usan certificados SHA-1 para el 1 de enero del 2017, de tal forma que la transición a TLS en realidad implique retirar dos tecnologías obsoletas de un solo golpe.

Fahmida Y. Rashid, InfoWorld (EE.UU.)