Mozilla, Google en Microsoft hebben ingestemd met het verwijderen van de steun voor de RC4-encryptie in Firefox, Chrome, Internet Explorer en Microsoft Rand in het begin 2016.
Meerdere kwetsbaarheden ontdekt in RC4 in de afgelopen tijd, die heeft geleid tot aanbevelingen om te voorkomen dat het gebruik van de code op alle kosten die door bedrijven zoals Mozilla of Microsoft.
Alle drie de bedrijven van plan te verwijderen RC4 ondersteuning van hun web browsers in het begin 2016 en heeft een aankondiging gedaan in dat opzicht in het openbaar.
Microsoft heeft aangekondigd de komende wijziging op de officiële Microsoft Rand development blog. Het bedrijf is van plan om de verandering te maken in Microsoft Rand en Internet Explorer 11, maar vermeld in de blog post dat het uitschakelen van RC4-standaard voor gebruikers van Windows 7, Windows 8.1 en Windows 10.
Vanaf begin 2016, de RC4-encryptie zal worden uitgeschakeld door-standaard en zal niet worden gebruikt tijdens de TLS-fallback-onderhandelingen.
Google kondigde de wijziging op de officiële Chroom forum. Het bedrijf wil verwijderen RC4 ondersteuning in eind januari of begin februari 2016.
Wanneer Chrome maakt een HTTPS-verbinding is een impliciete plicht om te doen wat hij kan om ervoor te zorgen dat de verbinding beveiligd is. Op dit punt, het gebruik van RC4 in een HTTPS-verbinding is valt op dat de bar en dus zijn we van plan om ondersteuning uitschakelen RC4 in een toekomstige Chrome versie. Die release is waarschijnlijk het bereiken van de stabiele kanaal rond januari of februari 2016. Op dat moment, HTTPS-servers die alleen ondersteuning RC4 zal stoppen met werken.
Volgens Google, 0,13% van HTTPS-verbindingen dat Chrome-gebruikers maken gebruik van de RC4 en zal worden beïnvloed door de wijziging, tenzij server operators breng wijzigingen aan in de configuratie van de ondersteuning van andere codes.
Mozilla verstrekt gedetailleerde informatie over de huidige fase van de RC4 in Firefox en plannen te verwijderen ondersteuning voor het volledig.
De organisatie heeft uitgeschakeld RC4 gedeeltelijk in Firefox al. Terwijl het nog steeds toegestaan in Beta en Release versies, Ontwikkelaar en Nighly versies ondersteunen alleen een statische witte lijst van hosts die dat nodig hebben.
Het huidige voorstel worden geplaatst op de Mozilla Dev Platform groep wil uitschakelen RC4 volledig in Firefox 44 die zal worden uitgebracht op de stabiele kanaal op 26 januari.
Plannen zijn aan de gang voor het uitschakelen van de whitelist dat Firefox Nightly en Aurora versies gebruik maken van de zo snel mogelijk.
Onbeperkt terugval in Beta en Release versies van Firefox zal worden vervangen door de witte lijst als deze kanalen te bereiken versie 43. Vanaf versie 44, RC uitgeschakeld voor het goede in alle versies.
Gebruikers van Mozilla Firefox kan dit wijzigen door het wijzigen van de volgende voorkeuren:
- veiligheid.tls.unrestricted_rc4_fallback – hiermee kunt onbeperkt gebruik van RC4
- veiligheid.tls.insecure_fallback_hosts.use_static_list – alleen RC4 voor hosts op de statische witte lijst
- veiligheid.tls.insecure_fallback_hosts – a lijst van hosts waarvoor de fallback is toegestaan
Nu U: Bent u beïnvloed door de wijziging?