Mozilla, Google et Microsoft ont convenu de supprimer le support pour le chiffrement RC4 dans Firefox, Chrome, Internet Explorer et Microsoft Bord au début de 2016.
De multiples vulnérabilités ont été découvertes dans RC4 dans la période récente qui a conduit à des recommandations afin d’éviter l’utilisation de l’algorithme de chiffrement à tout prix par des entreprises telles que Mozilla ou Microsoft.
Tous les trois entreprises plan pour supprimer la RC4 soutien de leurs navigateurs web au début de 2016, et ont fait une annonce à cet égard publiquement.
Microsoft a annoncé les changements à venir sur le site officiel de Microsoft à Bord blog de développement. La société prévoit de faire le changement dans Microsoft Edge et Internet Explorer 11, mais mentionné dans le billet de blog qu’il va désactiver RC4 par défaut pour les utilisateurs de Windows 7, Windows 8.1 et Windows 10.
Départ en début de 2016, le chiffrement RC4 sera désactivé par défaut et ne sera pas utilisé pendant TLS secours des négociations.
Google a annoncé le changement sur la page officielle de Chrome forum. La société vise à supprimer RC4 de soutien à la fin de janvier ou au début de février 2016.
Lorsque google Chrome permet une connexion HTTPS, il a une obligation implicite de faire ce qu’il peut pour s’assurer que la connexion est sécurisée. À ce stade, l’utilisation de RC4 dans une connexion HTTPS est en train de tomber en dessous de cette barre et donc nous avons l’intention de désactiver le support de RC4 dans un avenir Chrome version. Cette version est susceptible d’atteindre la stabilité de canal autour de janvier ou février 2016. À ce moment, les serveurs HTTPS qui ne supportent que la RC4 va cesser de fonctionner.
Selon Google, soit 0,13% des connexions HTTPS que les utilisateurs de Chrome utiliser RC4 et seront touchés par le changement, à moins que les opérateurs de serveur apporter des modifications à la configuration à l’appui d’autres algorithmes.
Mozilla a fourni des informations détaillées sur l’état actuel de la RC4 dans Firefox et plans à supprimer la prise en charge complètement.
L’organisation a désactivé la RC4 partiellement dans Firefox déjà. Tout en encore autorisés dans la Bêta et la Version, le Développeur et Nighly versions uniquement en charge statique de la liste blanche des hôtes qui ont besoin de elle.
La proposition actuelle posté sur Mozilla Dev Plate-forme de groupe a pour but de désactiver RC4 complètement dans Firefox 44 qui sera publié à l’stable canal du 26 janvier.
Des Plans sont en cours pour désactiver la liste blanche que Firefox Nightly et Aurora versions utiliser dès que possible.
Sans restriction de secours en version Bêta et la Version finale de Firefox sera remplacée par la liste blanche lors de ces canaux de version 43. A partir de la version 44, RC sera désactivé pour de bon dans toutes les versions.
Mozilla Firefox, les utilisateurs peuvent remplacer ce en modifiant les préférences suivantes:
- de sécurité.tls.unrestricted_rc4_fallback – permet sans restriction de secours pour RC4
- de sécurité.tls.insecure_fallback_hosts.use_static_list – d’autoriser uniquement RC4 pour les hôtes de la statique de la liste blanche
- de sécurité.tls.insecure_fallback_hosts – une liste d’hôtes pour qui de secours est autorisé
Maintenant, Vous: Êtes-vous touchés par le changement?