Mozilla, Google e Microsoft hanno accettato di rimuovere il supporto per la crittografia RC4 in Firefox, Chrome, Internet Explorer e Microsoft Bordo a inizio 2016.
Diverse vulnerabilità sono state scoperte in RC4 in tempi recenti, che hanno portato alla formulazione di raccomandazioni per evitare l’uso di crittografia a tutti i costi da aziende come Mozilla o Microsoft.
Tutte e tre le società intende rimuovere il supporto di RC4 dal loro browser web a inizio 2016 e hanno fatto un annuncio in proposito pubblicamente.
Microsoft ha annunciato l’imminente cambiamento sul sito ufficiale di Bordo di sviluppo del blog. La società prevede di effettuare la modifica in Microsoft Bordo e Internet Explorer 11, ma citato in un post del blog che si disattiva RC4 per impostazione predefinita per gli utenti di Windows 7, Windows 8.1 e Windows 10.
A partire dall’inizio del 2016, il codice RC4 verrà disattivata per impostazione predefinita e non può essere utilizzato durante TLS fallback negoziati.
Google ha annunciato la modifica sul sito ufficiale di Cromo forum. L’azienda mira a rimuovere il supporto di RC4 a fine gennaio o primi di febbraio 2016.
Quando Chrome rende una connessione HTTPS è un implicito dovere di fare tutto il possibile per garantire che la connessione è sicura. A questo punto, l’uso di RC4 in una connessione HTTPS è caduta al di sotto di quel bar e così abbiamo intenzione di disabilitare il supporto per RC4 in un futuro rilascio di Chrome. Che versione è probabile che per raggiungere il canale stabile intorno a gennaio o a febbraio 2016. A quel tempo, HTTPS server che supportano solo RC4 smetterà di funzionare.
Secondo Google, 0.13% di connessioni HTTPS che gli utenti di Chrome utilizzare RC4 e saranno interessati dal cambiamento, a meno che gli operatori dei server di apportare modifiche alla configurazione per il supporto di altre cifre.
Mozilla ha fornito dettagliate informazioni circa l’attuale fase di RC4 in Firefox e piani per rimuovere il supporto per esso completamente.
L’organizzazione ha disabilitato RC4 parzialmente in Firefox già. Mentre ancora ammessi in Beta e versioni di Rilascio, Sviluppatore e Nighly solo per le versioni a supporto statico whitelist di ospiti che lo richiedono.
L’attuale proposta posted on di Mozilla Dev Piattaforma di gruppo mira a disabilitare RC4 completamente in Firefox 44 che verrà rilasciato per il canale stabile, il 26 gennaio.
I piani sono in corso per disattivare la whitelist che Firefox Nightly e Aurora versioni di utilizzare il più presto possibile.
Illimitato di fallback in Beta e Release di Firefox sarà sostituito da quello whitelist quando questi canali raggiungere versione 43. A partire dalla versione 44, RC sarà disabilitata per bene in tutte le versioni.
Gli utenti di Mozilla Firefox può eseguire l’override di questo cambiando le seguenti preferenze:
- di sicurezza.tls.unrestricted_rc4_fallback – consente illimitato di fallback per RC4
- di sicurezza.tls.insecure_fallback_hosts.use_static_list – consentono solo RC4 per i padroni di casa sul statico whitelist
- di sicurezza.tls.insecure_fallback_hosts – un elenco di host per il quale fallback è consentito
Ora Voi: siete interessate dalla modifica?