Google Chrome, Microsoft Edge y Mozilla Firefox dejarán de soportar el cifrado RC4 para 2016

Las principales navegadores se unen para anunciar el fin del soporte para el cifrado RC4 para 2016

Con el objetivo de hacer la navegación por Internet más segura para los usuarios, Google, Microsoft y Mozilla han llegado a un acuerdo para dejar de soportar el cifrado criptográfico RC4 en los navegadores de las empresas a principios de 2016.

RC4, también conocido como Rivest Cipher 4 o ARC4, es un cifrado de flujo utilizado para la criptografía en navegadores de Internet. Aunque era notablemente simple y rápido, se han descubierto múltiples vulnerabilidades en él, lo que lo convierte en el cifrado más inseguro. Es especialmente vulnerable cuando el comienzo del flujo de salida no se descarta, o cuando se utilizan claves no aleatorias o relacionadas; algunas formas de usar RC4 pueden llevar a protocolos muy inseguros como WEP.

Los gigantes de los navegadores han decidido dejar de usar completamente el cifrado RC4 a partir de 2016. “Para Firefox, eso significa la versión 44, que está programada para ser lanzada el 26 de enero”, señaló Richard Barnes de Mozilla. “Es decir, a partir de Firefox 44, RC4 estará completamente deshabilitado a menos que un usuario lo habilite explícitamente a través de una de las preferencias.”

Google, por otro lado, lanzará una actualización de Chrome en enero o febrero de 2016. “Las mediciones muestran que solo el 0.13% de las conexiones HTTPS realizadas por usuarios de Chrome (que han optado por la recopilación de estadísticas) actualmente utilizan RC4. Aun así, los operadores de servidores afectados pueden muy probablemente simplemente ajustar su configuración para habilitar un mejor conjunto de cifrados para asegurar la operación continua”, señaló Adam Langley de Google.

“Las versiones actuales de Chrome no anuncian soporte para RC4 en una conexión HTTPS a menos que el primer intento de conexión falle, por lo que los servidores que ya soportan un conjunto de cifrados no RC4 no verán ningún cambio.”

Microsoft hizo el anuncio oficial ayer. “Microsoft Edge e Internet Explorer 11 solo utilizan RC4 durante un retroceso de TLS 1.2 o 1.1 a TLS 1.0. Un retroceso a TLS 1.0 con RC4 es a menudo el resultado de un error inocente, pero esto es indistinguible de un ataque de hombre en el medio. Por esta razón, RC4 estará completamente deshabilitado por defecto para todos los usuarios de Microsoft Edge e Internet Explorer en Windows 7, Windows 8.1 y Windows 10 a partir de principios de 2016”, explicó Alec Oot, un Gerente de Programa en Microsoft.

Microsoft había tenido la intención de deprecar el algoritmo SHA-1 en 2013. Internet Explorer no ofrece conjuntos de cifrados basados en RC4 durante el apretón de manos inicial de TLS/SSL como la primera opción.