最新版安卓操作系统Oreo 8.0停止支持SSLv3

发布日期：2017-10-09

前日，谷歌正式推出了最新版安卓机操作系统Oreo 8.0。作为安卓操作系统的第八个大版本，又有哪些与SSL/TLS有关的新特性呢?

· 不再支持SSLv3

· 当建立到不正确实现TLS协议版本协商的服务器的HTTPS连接时，HttpsURLConnection不再尝试回退到较早的TLS协议版本并重试。

停止支持SSLv3意味着什么

在完全理解这一举措所带来的影响前，我们需要回顾一些SSL/TLS的版本背景。

SSL或安全套接字层由Netscape创建，原始版本SSLv1或SSL 1.0从未公开发布，SSLv2或SSL 2.0于1995年发布，SSL 3.0于1996年发布。

不幸的是，他们都被认为是脆弱的，所以到1999年，传输层安全性已经在RFC 2246中被定义为SSL的继承者，那就是TLS 1.0，我们即将开始TLS 1.3时代。

删除对SSL 3.0的支持并不奇怪，毕竟，自2015年以来，它已被淘汰。坦率地说，继续支持这些过时的SSL协议版本是一个很大的安全问题，没有人应该支持SSLv3。

不过，会有一些网站所有者的配置过时，将受到影响。所以，这可能是双重检查您的服务器配置的一个好时机，并确保您支持正确的协议(而不是任何过时的协议)。

我们涵盖的第二个变化 - 在TLS协议版本协商期间，Android 8.0 Oreo将不再是尝试回退到较早的协议版本 - 进一步重申Google的立场，即网站应保持其配置更新。

这是一个合法的安全问题，坚持使用最新的协议版本是不会错的。