عدم پشتیبانی گوگل از SSl v۳ و RC۴ در جی‌میل IMAP/POP

روز دوشنبه گوگل اعلام کرد که خدمات رایانامه‌ی Gmail IMAP/POP بعد از تاریخ ۱۶ ژوئن سال ۲۰۱۶ دیگر از اتصالات SSL v۳ و RC۴ پشتیبانی نمی‌کند.
این اعلامیه در پی آخرین هشدار ماه قبل است که در آن گفته شده بود که SMTP جی‌میل در تاریخ ۱۶ ژوئن از پشتیبانی SSL v۳ و RC۴ دست خواهد کشید. با این حال، به تدریج در Gmail. IMAP/POP تغییراتی رخ خواهد داد و برای برخی کاربران ۳۰ روز طول خواهد کشید تا کاملاً از دسترسی به جی‌میل از طریق اتصالات مبتنی بر SSL v۳ و RC۴ منع شوند.

این شرکت از سال گذشته شروع به عدم پشتیبانی از این پروتکل‌ها در محصولات خود کرده است و دلیل اصلی آن نیز وضعیت منسوخ این پروتکل‌ها بوده است. SSLv۳ که از سال ۱۹۹۶ معرفی شده در سال ۲۰۱۴ به عنوان یک پروتکل ناامن معرفی شد، زیرا که محققان معتقد هستند از طریق آن می‌توان حملات POODLE را انجام داد که بر همه‌ی رمزهای بلوک در SSL و همچنین TLS تأثیر می‌گذارد. RC۴ نیز از سال ۱۹۸۷ ایجاد شده است و هنوز به صورت گسترده‌ای در اتصالات TLS استفاده می‌شود، اما حملاتی که علیه آن انجام می‌شود به مرور زمان عملی‌تر و کاربردی از همیشه می‌شوند.

به گفته‌ی شرکت گوگل، همه‌ی کسانی که از IMAP/POP جی‌میل استفاده می‌کنند باید در اسرع وقت این دو پروتکل امنیتی را کنار بگذارند تا مطمئن شوند که اختلالی در کار آن‌ها ایجاد نخواهد کرد. گوگل می‌گوید که برخی از خدمات گیرندگان رایانه در حال حاضر از اتصالات TLS روی این پروتکل‌های قدیمی استفاده می‌کنند که بدان معناست که بیشتر کاربران تحت تأثیر این تغییرات ایجاد شده قرار نخواهند گرفت.
تأثیر این تغییرات اعلام شده این است که پس از تاریخ ۱۶ ژوئن، خدمات گیرندگان IMAP و POP که از پروتکل‌های قدیمی SSLv۳ و RC۴ استفاده می‌کنند به تدریج دیگر قادر نیستند تا به کارگزارهای رایانامه‌ی گوگل متصل شوند. در درازمدت گوگل برنامه‌ریزی کرده تا این دو پروتکل را از همه‌ی محصولات خود حذف کند. این شرکت مدیران را تشویق می‌کند تا به صورت فعال سامانه‌های خود را به خدمات گیرنده‌ی TLS به روزرسانی کنند که از نظر این شرکت «بهترین راه حل ممکن» است.

گوگل می‌گوید که بیشتر مشتریان نرم‌افزارهای گوگل، که در حال حاضر با کارگزارهای پروتکل‌های SSLv۳ و RC۴ به خدمات IMAP/POP متصل می‌شده‌اند، این کار را متوقف کرده‌اند. مدیرانی که تنها از خدمات SSLv۳ و RC۴ پشتیبانی می‌کنند تشویق می‌شوند تا آن‎ها را به‎روزرسانی کنند، زیرا که کاربران ممکن است در اتصال به جی‌میل از سرویس گیرندگان رایانامه با استفاده از این دو پروتکل دچار خطای اتصال شوند.
در اوایل سال جاری، محققان آسیب‌پذیری دیگری را کشف کردند که بر خدمات SSL و TLS تأثیر می‌گذاشت و HTTPS را نیز شامل می‌شد و به نام DROWN شناخته شده است. اگر چه تنها ۵ درصد از خدمات ابری که تحت تأثیر این آسیب‌پذیری بودند، این حفره را در هفته‌ی اول پس از افشاء،‌ وصله کردند، با این حل آسیب‌پذیری DROWN به عنوانی یک مشکل بسیار تأثیرگذار در نظر گرفته نشد، بیشتر به این دلیل که بهره‌برداری از آن، آسان نبوده و یا تقریباً غیرممکن بود.

RC۴ که به خاطر سهولت آن به شدت محبوب شد، همچنانکه دیوید هولمز از شرکت F۵ Networks در ستون یادداشت خود در SecurityWeek در ماه نوامبر اعلام کرده بود، توسط سایر شرکت‌های فناوری دیگر نیز از جمله در مرورگر فایرفاکس موزیلا، پشتیبانی خود را از دست داده است.

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.