Mozilla, Google og Microsoft er blevet enige om at fjerne støtte til RC4-koder i Firefox, Chrome, Internet Explorer og Microsoft Kant i begyndelsen af 2016.
Flere sårbarheder er opdaget i RC4 i nyere tid, som har ført til anbefalinger om at undgå brug af cipher på alle omkostninger ved virksomheder som Mozilla eller Microsoft.
Alle tre virksomheder har planer om at fjerne RC4 støtte fra deres web-browsere i begyndelsen af 2016, og har lavet en bekendtgørelse i den forbindelse offentligt.
Microsoft annoncerede den kommende ændre på den officielle Microsoft Kant udvikling blog. Selskabet har planer om at foretage ændringer i Microsoft Kant og Internet Explorer 11, men som nævnt i blog-indlægget, at det vil deaktivere RC4 som standard for brugere på Windows 7, Windows 8.1 og Windows 10.
I begyndelsen af 2016, RC4-koder vil blive deaktiveret som standard, og vil ikke blive brugt under TLS-fallback-forhandlingerne.
Google annoncerede ændre på den officielle Chrom forum. Selskabet har til formål at fjerne RC4 støtte i slutningen af januar eller begyndelsen af februar 2016.
Når Chrome gør en HTTPS-forbindelse, at det har en indirekte pligt til at gøre, hvad den kan for at sikre, at forbindelsen er sikker. På dette tidspunkt, brug af RC4 i en HTTPS-forbindelse, der falder ind under denne bar, og derfor planlægger vi at deaktivere støtte til RC4 i en fremtid Chrome release. Denne udgivelse er sandsynligt at nå en stabil kanal omkring januar eller februar 2016. På det tidspunkt, HTTPS-servere, der understøtter kun RC4 vil stoppe med at arbejde.
Ifølge Google, 0.13% af HTTPS-forbindelser, at Chrome-brugere gøre brug af RC4 og vil blive påvirket af ændringen, medmindre serveren operatører foretage ændringer i konfigurationen til at støtte andre kryptosystemer.
Mozilla gav detaljerede oplysninger om den aktuelle fase af RC4 i Firefox, og har planer om at fjerne støtte til det helt.
Organisationen har deaktiveret RC4 delvist i Firefox allerede. Mens det stadig er tilladt i Beta og Release versioner, Udvikler og Nighly versioner understøtter kun en statisk whitelist værter, der har brug for det.
Det nuværende forslag sendt på Mozilla ‘ s Dev Platform gruppen har til formål at deaktivere RC4 helt i Firefox 44, som vil blive frigivet til de stabile kanal on januar 26.
Planer i gang for at deaktivere whitelist, at Firefox Nightly og Aurora versioner gøre brug af så hurtigt som muligt.
Ubegrænset fallback i Beta og Release versioner af Firefox vil blive erstattet af, at whiteliste når disse kanaler nå version 43. Begyndende med version 44, RC vil blive deaktiveret for det gode i alle udgivelser.
Brugere af Mozilla Firefox kan tilsidesætte dette ved at ændre følgende indstillinger:
- sikkerhed.tls.unrestricted_rc4_fallback – giver ubegrænset fallback til RC4
- sikkerhed.tls.insecure_fallback_hosts.use_static_list – tillad kun RC4 for værter på den statiske whitelist
- sikkerhed.tls.insecure_fallback_hosts – en liste over værter, som fallback er tilladt
Nu kan Du: Er du påvirket af ændringen?