SSL在安卓中已死，奥利奥8.0不再支持SSLv3

本月21日，谷歌正式推出了最新版安卓机操作系统Oreo 8.0。作为安卓操作系统的第八个大版本，又有哪些与SSL/TLS有关的新特性呢？

• 不再支持SSLv3
• 当建立到不正确实现TLS协议版本协商的服务器的HTTPS连接时，HttpsURLConnection不再尝试回退到较早的TLS协议版本并重试。

停止支持SSLv3意味着什么？

再完全理解这一举措所带来的影响前，我们需要回顾一些SSL/TLS的版本背景。

SSL或安全套接字层由Netscape创建。 原始版本SSLv1或SSL 1.0从未公开发布。 SSLv2或SSL 2.0于1995年发布，SSL 3.0于1996年发布。

不幸的是，他们都被认为是脆弱的，所以到1999年，传输层安全性已经在RFC 2246中被定义为SSL的继承者。 那就是TLS 1.0。 我们即将开始TLS 1.3时代。

删除对SSL 3.0的支持并不奇怪，毕竟，自2015年以来，它已被淘汰。坦率地说，继续支持这些过时的SSL协议版本是一个很大的安全问题。 没有人应该支持SSLv3。

不过，会有一些网站所有者的配置过时，将受到影响。 所以，这可能是双重检查您的服务器配置的一个好时机，并确保您支持正确的协议（而不是任何过时的协议）。

我们涵盖的第二个变化 - 在TLS协议版本协商期间，Android 8.0 Oreo将不再是尝试回退到较早的协议版本 - 进一步重申Google的立场，即网站应保持其配置更新。 这是一个合法的安全问题。坚持使用最新的协议版本是不会错的。

是时候检查一下您的服务器配置啦!

稿源：The ssl store