Google Chrome、Microsoft Edge、Mozilla Firefoxが2016年までにRC4暗号のサポートを停止

主要ブラウザがRC4暗号のサポート終了を発表

ユーザーのインターネットブラウジングをより安全にするために、Google、Microsoft、Mozillaは、2016年初頭までに各社のブラウザでRC4暗号化方式のサポートを停止することで合意しました。

RC4（Rivest Cipher 4）は、ARC4またはARCFOURとも呼ばれ、インターネットブラウザでの暗号化に使用されるストリーム暗号です。非常にシンプルで高速でしたが、複数の脆弱性が発見され、最も安全でない暗号とされています。特に、出力キーストリームの最初の部分が破棄されない場合や、非ランダムまたは関連するキーが使用される場合に脆弱です。RC4の使用方法によっては、WEPのような非常に安全でないプロトコルにつながることがあります。

ブラウザの巨人たちは、2016年からRC4暗号の使用を完全に停止することを決定しました。「Firefoxの場合、これは1月26日にリリース予定のバージョン44を意味します」とMozillaのリチャード・バーンズは述べました。「つまり、Firefox 44以降、ユーザーが明示的に設定を通じて有効にしない限り、RC4は完全に無効になります。」

一方、Googleは2016年1月または2月にChromeのアップデートを推進します。「測定によると、統計収集に参加しているChromeユーザーによるHTTPS接続のうち、現在RC4を使用しているのはわずか0.13%です。それでも、影響を受けるサーバーの運営者は、より良い暗号スイートを有効にするために構成を調整することが非常に可能です」とGoogleのアダム・ラングリーは指摘しました。

「現在のChromeのバージョンは、最初の接続試行が失敗しない限り、HTTPS接続でRC4のサポートを広告しません。したがって、すでに非RC4の暗号スイートをサポートしているサーバーには、何の変更も見られません。」

Microsoftは昨日、公式発表を行いました。「Microsoft EdgeとInternet Explorer 11は、TLS 1.2または1.1からTLS 1.0へのフォールバック中にのみRC4を利用します。RC4を使用したTLS 1.0へのフォールバックは、ほとんどの場合無邪気なエラーの結果ですが、これは中間者攻撃と区別がつきません。このため、RC4は2016年初頭からWindows 7、Windows 8.1、Windows 10のすべてのMicrosoft EdgeおよびInternet Explorerユーザーに対してデフォルトで完全に無効になります」とMicrosoftのプログラムマネージャーであるアレック・オートは説明しました。

Microsoftは2013年にSHA-1アルゴリズムを非推奨にする意向を示していました。Internet Explorerは、最初のTLS/SSLハンドシェイク時にRC4ベースの暗号スイートを最初のオプションとして提供しません。