不出所料，這周谷歌正式宣布準備放棄支持流算法 RC4 和 SSLv3 協議，這二者都有悠久的被攻擊歷史。 該公司的一名安全工程師亞當.蘭利周四在一篇博客中宣布了該計劃。雖然沒有一個具體的時間表，但是蘭利堅稱，谷歌會在適當的時段內在其所有的前端服務器、Chrome、Android、爬蟲和 SMTP 服務器中放棄使用 RC4 和 SSLv3。

事實上，該公司宣布放棄 RC4 和 SSLv3 并不令人驚訝，國際互聯網工程任務組IETF在今年夏天發布的一個互聯網標準跟蹤文檔Internet Standards Track document中宣稱了 SSLv3 的死亡，說它“不夠安全”，而且說“任何版本的 TLS 都比 SSLv3 安全”。

如蘭利在博客中說到的，RC4 已經用了28年了，雖然其在早期的表現很好，但是多年來它一直是多種攻擊的目標，其中一些攻擊可以導致 TLS 會話降級和 cookie 解密。

作為這次計劃的一部分，谷歌宣布了一些 TLS 客戶端應該具有的最低安全性標準：

必須支持 TLS 1.2在握手時必須包含服務器名字指示SNI （server name indication）擴展，還要包含將要連接的域名必須支持帶有 P-256 和未壓縮點的加密套件 TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 至少要信任 https://pki.google.com/roots.pem 中的證書證書操作一定能支持 DNS 主題替代名稱SAN（Subject Alternative Name） ，并且這些主題替代名稱可以包含一個通配符作為名字最左邊的標簽

蘭利說：不滿足需求的設備不會很快就停止工作，但是會受到 TLS 變化的影響，這可能持續到2020年。

“如果你的 TLS 客戶端、web 服務器或者郵件服務器使用 SSLv3 或 RC4，雖然幾年前就該更新了，不過現在更新總比不更新好。然而要注意，你現在使用 RC4 并不意味著你的客戶端或網站就無法工作，TLS 會協商加密算法，但是如果你只支持 RC4 那就要出問題了。”，蘭利說。

蘭利在這個月早些時候發到 [email protected]　郵件列表的一封帖子中宣布了廢棄 RC4 的大致計劃。確認這個算法會在將來的 Chrome 構建中禁用，可能會在 2016 年一、二月穩定。該公司也已經做了一些廢棄 SSLv3 的工作：隨著取消 Chrome 中的 SSLv3 降級支持， POODLE 攻擊就會失效，該公司也會逐步淘汰 SHA-1 算法。