Google Chrome, Microsoft Edge e Mozilla Firefox smetteranno di supportare il cifrario RC4 entro il 2016

I principali browser si uniscono per annunciare la fine del supporto per il cifrario RC4 entro il 2016

Con l’obiettivo di rendere la navigazione su Internet più sicura per gli utenti, Google, Microsoft e Mozilla hanno raggiunto un accordo per interrompere il supporto per il cifrario crittografico RC4 nei browser delle aziende entro l’inizio del 2016.

RC4, noto anche come Rivest Cipher 4, è un cifrario a flusso utilizzato per la crittografia nei browser Internet. Sebbene fosse notevolmente semplice e veloce, sono state scoperte molte vulnerabilità che lo rendono il cifrario meno sicuro. È particolarmente vulnerabile quando l’inizio del flusso di chiavi in uscita non viene scartato, o quando vengono utilizzate chiavi non casuali o correlate; alcuni modi di utilizzare RC4 possono portare a protocolli molto insicuri come WEP.

I colossi dei browser hanno deciso di smettere completamente di utilizzare il cifrario RC4 dal 2016. “Per Firefox, ciò significa la versione 44, attualmente programmata per il rilascio il 26 gennaio,” ha osservato Richard Barnes di Mozilla. “Cioè, a partire da Firefox 44, RC4 sarà completamente disabilitato a meno che un utente non lo abiliti esplicitamente tramite una delle preferenze.”

Google, d’altra parte, rilascerà un aggiornamento di Chrome a gennaio o febbraio 2016. “Le misurazioni mostrano che solo lo 0,13% delle connessioni HTTPS effettuate dagli utenti di Chrome (che hanno scelto di partecipare alla raccolta di statistiche) attualmente utilizza RC4. Anche in tal caso, gli operatori dei server interessati possono molto probabilmente semplicemente modificare la loro configurazione per abilitare un migliore insieme di cifrari per garantire il funzionamento continuo,” ha sottolineato Adam Langley di Google.

“Le versioni attuali di Chrome non pubblicizzano il supporto per RC4 su una connessione HTTPS a meno che il primo tentativo di connessione non fallisca, quindi i server che già supportano un insieme di cifrari non RC4 non vedranno alcuna modifica.”

Microsoft ha fatto l’annuncio ufficiale ieri. “Microsoft Edge e Internet Explorer 11 utilizzano RC4 solo durante un fallback da TLS 1.2 o 1.1 a TLS 1.0. Un fallback a TLS 1.0 con RC4 è spesso il risultato di un errore innocente, ma questo è indistinguibile da un attacco man-in-the-middle. Per questo motivo, RC4 sarà completamente disabilitato per impostazione predefinita per tutti gli utenti di Microsoft Edge e Internet Explorer su Windows 7, Windows 8.1 e Windows 10 a partire all’inizio del 2016,” ha spiegato Alec Oot, Program Manager di Microsoft.

Microsoft aveva intenzione di deprecare l’algoritmo SHA-1 nel 2013. Internet Explorer non offre suite di cifrari basate su RC4 durante il primo handshake TLS/SSL come prima opzione.