Google, Microsoft i Mozilla wyłączą wsparcie dla RC4

Google, Microsoft i Mozilla wyłączą wsparcie dla RC4

Tej decyzji można było się spodziewać. Dzisiaj, wszystkie trzy firmy ogłosiły, że na początku przyszłego roku wyłączą wsparcie dla szyfru RC4 w swoich przeglądarkach.

Koniec RC4 po 28 latach

Strumieniowy szyfr RC4 został zaprojektowany w 1987 roku przez Rona Rivesta i przez długie lata był szeroko wykorzystywany do zapewniania bezpiecznej transmisji danych w internecie. Niestety, w ostatnich latach sukcesywanie wykazywano jego słabości i ostatecznie przestał on być uznawany za wystarczająco bezpieczny (jedne z ostatnich badań pokazały, że RC4 może zostać złamany nawet 3 dni). Na początku tego roku w RFC 7465 zakazano wykorzystywania RC4 w połączeniach TLS.

Biorąc po uwagę te fakty decyzja Google, Microsoftu i Mozilli nie może dziwić. Na początku 2016 roku w Chrome, Firefoxie, IE11 i Edge niemożliwe będzie już zestawienie połączenia TLS z użyciem szyfru RC4. Obecnie jest to jeszcze możliwe, ale tylko w opcji fallback. Wyłączenie RC4 w Chrome nastąpi na przełomie stycznia i lutego 2016; w Firefoxie wraz z wersją 44, której wydanie planowane jest na 26 stycznia 2016. Microsoft datę końca wsparcia określił na początek 2016 roku.

Czy w związku z wyłączeniem RC4 należy podjąć jakieś działania?

Decyzja Google, Mozilli i Microsoftu nie będzie miała wpływu na zdecydowaną większość użytkowników. Przykładowo, zgodnie z informacją od Google, tylko 0,13% połączeń HTTPS użytkowników Chrome wykorzystuje RC4.

Aktualna statystyka wsparcia dla RC4 według badania trustworthyinternet.org

Aktualna statystyka wsparcia dla RC4 według badania trustworthyinternet.org

Zacząć się martwić, a najlepiej zacząć myśleć nad zmianą konfiguracji TLS powinni jedynie Ci, których serwery wspierają wyłącznie zestawy szyfrów z algorytmem RC4, ponieważ przy takiej konfiguracji przeglądarki nie pozwolą na nawiązanie połączenia HTTPS. To czy Twój nie wspiera żadnych innych zestawów szyfrów poza tymi korzystającymi z RC4 można sprawdzić korzystając na przykład ze świetnego narzędzia jakim jest SSL Labs, sekcja Configuration/Cipher Suites. W innych przypadkach serwery nie zauważą żadnych różnic w zachowaniu przeglądarek, ale… jeżeli z jakiś powodów dopuszczasz użycie RC4 (obok innych, bezpieczniejszych opcji) to jest to chyba dobry moment na zrezygnowanie z tej niezalecanej praktyki.

Na koniec odnośniki do oficjalnych komunikatów Google [1], Mozilli [2] i Microsoftu [3]:

[1] https://groups.google.com/a/chromium.org/forum/#!msg/security-dev/kVfCywocUO8/vgi_rQuhKgAJ

[2] https://groups.google.com/forum/#!topic/mozilla.dev.platform/JIEFcrGhqSM/discussion

[3] http://blogs.windows.com/msedgedev/2015/09/01/ending-support-for-the-rc4-cipher-in-microsoft-edge-and-internet-explorer-11/

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *