Mozilla, Google und Microsoft haben vereinbart, zu entfernen, Unterstützung für den RC4-cipher im Firefox, Chrome, Internet Explorer und Microsoft Edge-Anfang 2016.
Mehrere Schwachstellen in RC4 in der letzten Zeit geführt, um Empfehlungen zu vermeiden, die Nutzung der Chiffre, bei der alle Kosten, die von Unternehmen wie Mozilla oder Microsoft.
Alle drei Unternehmen planen zu entfernen-RC4-Unterstützung von Ihren web-Browsern Anfang 2016 und haben eine Ankündigung in diesem Zusammenhang öffentlich.
Microsoft kündigte die bevorstehende änderung auf der offiziellen Microsoft-Edge development blog. Das Unternehmen plant, um die änderung in Microsoft Edge-und Internet Explorer 11, aber erwähnt in dem blog-post, dass es RC4 deaktivieren, die standardmäßig für Benutzer von Windows 7, Windows 8.1 und Windows 10.
Ab Anfang 2016 ist der RC4-cipher deaktiviert werden, standardmäßig und nicht genutzt werden, während der TLS fallback-Verhandlungen.
Google angekündigt, dass die änderung auf der offiziellen Chromium-forum. Das Unternehmen zielt darauf ab, entfernen RC4-Unterstützung im späten Januar oder frühen Februar 2016.
Wenn Chrome macht eine HTTPS-Verbindung, es hat eine implizite Pflicht zu tun, was Sie können, um sicherzustellen, dass die Verbindung sicher ist. An diesem Punkt, die Verwendung von RC4 in eine HTTPS-Verbindung unterschreiten, die bar und so planen wir deaktivieren der Unterstützung für RC4 in zukünftigen Chrome-Version. Das release wird wahrscheinlich erreichen der stabilen Kanal um Januar oder Februar 2016. Damals, HTTPS-Server, unterstützt nur RC4 wird nicht mehr funktionieren.
Laut Google 0.13% der HTTPS-verbindungen, die Chrome-Nutzer Gebrauch machen, RC4 und wird von der änderung betroffen sein, es sei denn, server-Betreiber änderungen an der Konfiguration zur Unterstützung von anderen Chiffren.
Mozilla lieferte detaillierte Informationen über die aktuelle Phase von RC4 in Firefox und Pläne, entfernen Sie die Unterstützung für Sie völlig.
Die Organisation hat deaktiviert RC4 teilweise in Firefox schon. Während noch in der Beta-und Release-Versionen, Entwickler und Nighly Versionen unterstützen nur eine statische whitelist von hosts, die es erfordern.
Der aktuelle Vorschlag gepostet, die auf Mozilla – Dev-Plattform-Gruppe will zum deaktivieren von RC4 komplett im Firefox-44, die freigegeben wird, um den stabilen Kanal auf Januar 26.
Pläne sind im Gange, um zu deaktivieren Sie die whitelist, die Firefox Nightly-und Aurora-Versionen nutzen, so bald wie möglich.
Uneingeschränkte fallback in der Beta-und Release-Versionen von Firefox sein wird, ersetzt wird durch die whitelist, wenn diese Kanäle erreichen-version 43. Beginnend mit version 44, RC deaktiviert für gute, in allen Versionen.
Mozilla Firefox-Benutzer kann dies außer Kraft setzen, indem Sie die folgenden Einstellungen:
- Sicherheit.tls.unrestricted_rc4_fallback – ermöglicht uneingeschränkte fallback auf RC4
- Sicherheit.tls.insecure_fallback_hosts.use_static_list – nur damit RC4 für hosts, die auf die statische whitelist
- Sicherheit.tls.insecure_fallback_hosts – eine Liste von hosts, für die die fallback-ist erlaubt
Jetzt Sie: Sind Sie von der änderung betroffen?