Google Chrome, Microsoft Edge und Mozilla Firefox werden die Unterstützung für den RC4-Z cipher bis 2016 einstellen

Großes Browser-Team kündigt das Ende der Unterstützung für den RC4-Z cipher bis 2016 an

Um das Surfen im Internet für die Nutzer sicherer zu machen, haben Google, Microsoft und Mozilla eine Vereinbarung getroffen, die Unterstützung für den RC4-Kryptografie-Z cipher in den Browsern der Unternehmen bis Anfang 2016 einzustellen.

RC4, auch bekannt als Rivest Cipher 4, auch bekannt als ARC4 oder ARCFOUR, ist ein Stromcipher, das für die Kryptografie in Internetbrowsern verwendet wird. Obwohl es bemerkenswert einfach und schnell war, wurden mehrere Schwachstellen entdeckt, die es zum unsichersten Cipher machen. Es ist besonders anfällig, wenn der Anfang des Ausgabeschlüssels nicht verworfen wird oder wenn nicht zufällige oder verwandte Schlüssel verwendet werden; einige Arten der Verwendung von RC4 können zu sehr unsicheren Protokollen wie WEP führen.

Die Browser-Giganten haben beschlossen, den RC4-Z cipher ab 2016 vollständig nicht mehr zu verwenden. „Für Firefox bedeutet das Version 44, die derzeit für den 26. Januar geplant ist“, bemerkte Mozillas Richard Barnes. „Das heißt, ab Firefox 44 wird RC4 vollständig deaktiviert, es sei denn, ein Benutzer aktiviert es ausdrücklich über eine der Einstellungen.“

Google hingegen wird im Januar oder Februar 2016 ein Chrome-Update herausbringen. „Messungen zeigen, dass nur 0,13 % der HTTPS-Verbindungen, die von Chrome-Nutzern (die sich für die Statistiksammlung entschieden haben) hergestellt werden, derzeit RC4 verwenden. Selbst dann können betroffene Serverbetreiber sehr wahrscheinlich einfach ihre Konfiguration anpassen, um ein besseres Cipher-Suite zu aktivieren, um den fortgesetzten Betrieb sicherzustellen“, wies Googles Adam Langley hin.

„Aktuelle Versionen von Chrome werben nicht für die Unterstützung von RC4 bei einer HTTPS-Verbindung, es sei denn, der erste Verbindungsversuch schlägt fehl, sodass Server, die bereits eine Nicht-RC4-Cipher-Suite unterstützen, keine Änderungen sehen werden.“

Microsoft hat gestern die offizielle Ankündigung gemacht. „Microsoft Edge und Internet Explorer 11 nutzen RC4 nur während eines Fallbacks von TLS 1.2 oder 1.1 auf TLS 1.0. Ein Fallback auf TLS 1.0 mit RC4 ist meist das Ergebnis eines harmlosen Fehlers, kann jedoch nicht von einem Man-in-the-Middle-Angriff unterschieden werden. Aus diesem Grund wird RC4 ab Anfang 2016 standardmäßig für alle Microsoft Edge- und Internet Explorer-Nutzer unter Windows 7, Windows 8.1 und Windows 10 vollständig deaktiviert“, erklärte Alec Oot, Program Manager bei Microsoft.

Microsoft hatte beabsichtigt, den SHA-1-Algorithmus im Jahr 2013 abzulehnen. Internet Explorer bietet während des anfänglichen TLS/SSL-Handshakes keine auf RC4 basierenden Cipher-Suiten als erste Option an.