Mozilla, Google og Microsoft har blitt enige om å fjerne støtte for RC4-cipher i Firefox, Chrome, Internet Explorer og Microsoft Kanten tidlig i 2016.
Flere sårbarheter har blitt oppdaget i RC4 i nyere tid, noe som førte til anbefalinger for å unngå bruk av cipher på alle kostnader av selskaper som Mozilla eller Microsoft.
Alle tre selskapene planlegger å fjerne RC4 støtte fra sine nettlesere tidlig i 2016 og har laget en kunngjøring i den forbindelse offentlig.
Microsoft annonserte den kommende endringen på den offisielle Microsoft Kanten utvikling blogg. Selskapet planer om å gjøre endringer i Microsoft Kanten og Internet Explorer 11, men som nevnt i blogginnlegget at det vil deaktivere RC4 standard for brukere på Windows 7, Windows 8.1 og Windows-10.
Starter i begynnelsen av 2016, RC4-cipher vil være deaktivert som standard, og vil ikke brukes under TLS fallback forhandlinger.
Google annonserte endringen på den offisielle Krom forum. Selskapet har som mål å fjerne RC4-støtte i slutten av januar eller begynnelsen av februar 2016.
Når Chrome gjør en HTTPS-tilkobling det har en underforstått plikt til å gjøre hva det kan for å sikre at tilkoblingen er sikker. På dette punktet, bruk av RC4 i en HTTPS-tilkobling er falt under den baren og dermed har vi tenkt å deaktivere støtte for RC4 i en fremtidig Chrome utgivelsen. At utgivelsen er sannsynlig å nå stabil kanal rundt januar eller februar 2016. På den tiden, HTTP-servere, som bare støtter RC4 vil slutte å fungere.
Ifølge Google, 0.13% av HTTPS-tilkoblinger som Chrome-brukere benytte RC4 og vil bli berørt av endringen, med mindre server operators gjøre endringer i konfigurasjonen til å støtte andre sifre.
Mozilla gitt detaljerte opplysninger om nåværende stadium av RC4 i Firefox og planer for å fjerne støtte til det helt.
Organisasjonen har deaktivert RC4 delvis i Firefox allerede. Mens det er fortsatt tillatt i Beta og Release versjoner, som er Utvikler og Nighly versjoner støtter bare et statisk hvitelisten, allhers gud som krever det.
Det nåværende forslaget er lagt ut på mozillas Dev Plattform konsernet har som mål å deaktivere RC4 helt i Firefox 44 som vil bli utgitt til stabil kanal 26. januar.
Planene er i gang for å deaktivere hvitelisten at Firefox hver Kveld, og Aurora versjoner gjøre bruk av så snart som mulig.
Ubegrenset tilbakefall i Beta og Release versjoner av Firefox vil bli erstattet av at hviteliste når disse kanalene nå versjonen 43. Fra og med versjon 44, RC vil være deaktivert for godt i alle versjoner.
Mozilla Firefox-brukere kan overstyre dette ved å endre følgende preferanser:
- sikkerhet.tls.unrestricted_rc4_fallback – tillater ubegrenset tilbakefall til RC4
- sikkerhet.tls.insecure_fallback_hosts.use_static_list – bare tillate RC4 for vertene på den statiske hviteliste
- sikkerhet.tls.insecure_fallback_hosts – en liste over verter som fallback er tillatt
Nå er Du: Er du påvirket av denne endringen?