Gmail cessera officiellement le support pour la norme de chiffrement Triple Data (3DES) pour toutes les connexions SMTP entrantes le 30 mai 2025, un mouvement que Google décrit comme vital pour renforcer la sécurité des utilisateurs contre Google, cette modification du Cipher, la réduction de la rééducation, la réduction de la rééducation antichée sur le protocole anti-3, l’envoira encore une réduction de la rééducation sur le 3DES Antiqué sur la 3DE antichée pour une utilisation exclusive de la réduction de la réduction sur la 3DES ANTISET sur la 3DES Antiquée pour une utilisation exclusive sur la réduction de la révision des Antiqués sur la 3DES Antiquée pour une utilisation exclusive sur la réduction de la réduction sur la 3DES ANTIQUÉE AUTÉSE POUR POUR UNE SUPPROSSIBLE ANNEUX SUR LA REMÉDAGE ANTÉRIE Pour les livrer aux utilisateurs de Gmail après la diadline. Cela pourrait entraîner des interruptions de communication importantes si les administrateurs ne mettent pas à niveau leurs systèmes en chiffres TLS modernes et sécurisés, comme recommandé dans Centre d’aide de Google . href=”https://news.ycombinator.com/item?id=43922975″Target=”_ Blank”> Hacker News , où l’écart de neuf ans depuis les vulnérabilités sévères de 3des (CVE-2016-2183) a été publié publiquement un point de prétention. L’utilisateur de Hacker News «Londons_Explore» a fait remarquer: «Ne vous inquiétez pas-il n’a fallu que 9 ans entre 3des, il est connu publiquement pour avoir de graves vulnérabilités et Google décidant qu’il n’est pas approprié pour protéger peut-être l’ensemble de données le plus sensible au monde (e-mails privés).»
While some users debate the practical severity of 3DES for SMTP given typical session limits, the overwhelming sentiment acknowledges the need of the update for a service as critical Comme Gmail.
Google a confirmé que les administrateurs de domaines récemment à l’aide de 3DES ont été directement informés, et que les utilisateurs finaux recevant des e-mails via 3DES verront également des avertissements. Ce changement affectera tous les clients de Google Workspace, faisant pression pour une adoption plus large de normes de chiffrement plus fortes à travers l’écosystème des e-mails. La taille du bloc 64 bits de 3des le rend vulnérable au fil du temps.
La mécanique du changement et du contexte de l’industrie
L’implication pratique de ce changement de stratégie est simple: lorsqu’un serveur de messagerie externe tente de se connecter aux serveurs SMTP de GMAIL et à ce que la méthode d’encryption est 3Des, GMAIL se projetera. L’utilisateur de Hacker News «Tialaramex» l’a dit: «Le changement de Google ici est quand un client appelle Gmail et professe que le chiffre le moins horrible qu’il connaît est 3des, c’est trop mal, la connexion a échoué.
Ce blocage proactif vise à empêcher l’interception des données grâce à un cryptage obsolète. Google Workspace L’administrateur aide à clarifier davantage que les administrateurs peuvent identifier l’utilisation des 3des dans leur trafic postal sortant; La valeur spécifique indiquant ce chiffre dans les journaux BigQuery est «La valeur affichée dans ce champ qui indique l’utilisation d’un chiffre 3des est DES-CBC3-Sha.»
Cette décision de Google, bien que significative, fait partie d’une tendance plus large de l’industrie de 3DES. Par exemple, Microsoft détaillé ses plans d’amortissement TLS_RSA_WITH_3DES_EDE_CBC_SHA CIPHER SUITE EN SUPÉRIEUR AU 28 février 2019. Zoho Services en 2016, citant la vulnérabilité Sweet32.
L’attaque Sweet32 ( CVE-2016-2183 ) Targets spécifiquement tels que 64 bits de bit. Même plus tôt, Enisa, l’agence de cybersécurité de l’UE, avait classé les 3des comme héritage.
Impact sur les systèmes hérités et les efforts de sécurité plus larges
Une préoccupation clé résultant de cette dépréciation est l’impact sur les très anciens systèmes de messagerie. L’utilisateur de Hacker News «ZZQ1015» l’a souligné, déclarant: «Vous ne pouvez jamais imaginer combien de personnes utilisent toujours WinXP, ou d’autres clients/serveurs Héritage oubliés qui ne prennent que les TLS 1.0 et RC4/DES/3des sans le réaliser.»
Bien que le maintien de la compatibilité en arrière ait souvent été un facteur pour les principaux fournisseurs de services, les risques de sécurité prononcés de 3des ont évidemment augmenté les échelles. En effet, certains dans la communauté technologique ont exprimé leur surprise que Gmail l’ait soutenu pendant si longtemps.
La vulnérabilité de base ne réside pas seulement avec la longueur de clé, mais avec la taille du bloc 64 bits de 3DES, le rendant sensible aux attaques d’anniversaire pendant des séances étendues. Plus d’informations sur l’attaque Sweet32 peuvent être trouvées sur sweet32.info .
Le phasage de Google de 3DES est cohérent avec sa stratégie plus large pour améliorer la sécurité des e-mails. Par exemple, WinBuzzer a précédemment rapporté une fonctionnalité bêta pour Gmail en avril qui a introduit une bascule pour le cryptage côté client (CSE) pour les utilisateurs d’entreprise.
Le système CSE sous-jacent atteint Disponibilité générale en février 2023 , selon un article de blog Google Workspace. Alors que la dépréciation 3des traite d’un défaut de cryptage fondamental de transit, CSE offre une couche différente, cryptant du contenu avant de quitter le navigateur de l’utilisateur. Google Cloud a également déclaré qu’il n’utilise pas 3DES en interne, mais qu’il l’avait conservé sur les points de terminaison pour la compatibilité, les clients FedRamp capables de demander sa suppression.
Navigation de confidentialité et d’accès des e-mails
Les discussions autour de la sécurité des e-mails touchent invariablement à la confidentialité des données. L’annonce 3DES pourrait vouloir que vous revisiriez les implications du Electronic Communications Privacy Act (ECPA) . potentiellement moins d’un mandat complet, La politique officielle de Google affirme une exigence pour un mandat de perquisition ECPA pour le contenu Gmail, sur la base des protections du quatrième amendement. Ce poste est repris par d’autres géants de la technologie; APPLE’S APPLICATION DES GUIGNIFICTIONS Et Les directives de Meta reflètent des positions similaires, mettant en évidence une navigation continue à l’échelle de l’industrie des demandes juridiques et de la confidentialité des utilisateurs dans les communications numériques.