Tej decyzji można było się spodziewać. Dzisiaj, wszystkie trzy firmy ogłosiły, że na początku przyszłego roku wyłączą wsparcie dla szyfru RC4 w swoich przeglądarkach.
Koniec RC4 po 28 latach
Strumieniowy szyfr RC4 został zaprojektowany w 1987 roku przez Rona Rivesta i przez długie lata był szeroko wykorzystywany do zapewniania bezpiecznej transmisji danych w internecie. Niestety, w ostatnich latach sukcesywanie wykazywano jego słabości i ostatecznie przestał on być uznawany za wystarczająco bezpieczny (jedne z ostatnich badań pokazały, że RC4 może zostać złamany nawet 3 dni). Na początku tego roku w RFC 7465 zakazano wykorzystywania RC4 w połączeniach TLS.
Biorąc po uwagę te fakty decyzja Google, Microsoftu i Mozilli nie może dziwić. Na początku 2016 roku w Chrome, Firefoxie, IE11 i Edge niemożliwe będzie już zestawienie połączenia TLS z użyciem szyfru RC4. Obecnie jest to jeszcze możliwe, ale tylko w opcji fallback. Wyłączenie RC4 w Chrome nastąpi na przełomie stycznia i lutego 2016; w Firefoxie wraz z wersją 44, której wydanie planowane jest na 26 stycznia 2016. Microsoft datę końca wsparcia określił na początek 2016 roku.
Czy w związku z wyłączeniem RC4 należy podjąć jakieś działania?
Decyzja Google, Mozilli i Microsoftu nie będzie miała wpływu na zdecydowaną większość użytkowników. Przykładowo, zgodnie z informacją od Google, tylko 0,13% połączeń HTTPS użytkowników Chrome wykorzystuje RC4.
Zacząć się martwić, a najlepiej zacząć myśleć nad zmianą konfiguracji TLS powinni jedynie Ci, których serwery wspierają wyłącznie zestawy szyfrów z algorytmem RC4, ponieważ przy takiej konfiguracji przeglądarki nie pozwolą na nawiązanie połączenia HTTPS. To czy Twój nie wspiera żadnych innych zestawów szyfrów poza tymi korzystającymi z RC4 można sprawdzić korzystając na przykład ze świetnego narzędzia jakim jest SSL Labs, sekcja Configuration/Cipher Suites. W innych przypadkach serwery nie zauważą żadnych różnic w zachowaniu przeglądarek, ale… jeżeli z jakiś powodów dopuszczasz użycie RC4 (obok innych, bezpieczniejszych opcji) to jest to chyba dobry moment na zrezygnowanie z tej niezalecanej praktyki.
—
Na koniec odnośniki do oficjalnych komunikatów Google [1], Mozilli [2] i Microsoftu [3]:
[1] https://groups.google.com/a/chromium.org/forum/#!msg/security-dev/kVfCywocUO8/vgi_rQuhKgAJ
[2] https://groups.google.com/forum/#!topic/mozilla.dev.platform/JIEFcrGhqSM/discussion