Google Chrome, Microsoft Edge e Mozilla Firefox vão parar de suportar o cifrador RC4 até 2016

Principais navegadores se unem para anunciar o fim do suporte ao cifrador RC4 até 2016

Com o objetivo de tornar a navegação na Internet mais segura para os usuários, Google, Microsoft e Mozilla chegaram a um acordo para parar o suporte ao cifrador criptográfico RC4 nos navegadores das empresas até o início de 2016.

RC4, também conhecido como Rivest Cipher 4, ARC4 ou ARCFOUR, é um cifrador de fluxo usado para criptografia em navegadores da Internet. Embora fosse notavelmente simples e rápido, várias vulnerabilidades foram descobertas, tornando-o o cifrador mais inseguro. Ele é especialmente vulnerável quando o início do fluxo de saída não é descartado ou quando chaves não aleatórias ou relacionadas são usadas; algumas maneiras de usar o RC4 podem levar a protocolos muito inseguros, como o WEP.

Os gigantes dos navegadores decidiram parar completamente de usar o cifrador RC4 a partir de 2016. “Para o Firefox, isso significa a versão 44, atualmente programada para ser lançada em 26 de janeiro”, observou Richard Barnes, da Mozilla. “Ou seja, a partir do Firefox 44, o RC4 será totalmente desativado, a menos que um usuário o habilite explicitamente através de uma das preferências.”

O Google, por outro lado, lançará uma atualização do Chrome em janeiro ou fevereiro de 2016. “As medições mostram que apenas 0,13% das conexões HTTPS feitas por usuários do Chrome (que optaram pela coleta de estatísticas) atualmente usam RC4. Mesmo assim, os operadores de servidor afetados podem muito provavelmente simplesmente ajustar sua configuração para habilitar um conjunto de cifradores melhor a fim de garantir a operação contínua”, apontou Adam Langley, do Google.

“As versões atuais do Chrome não anunciam suporte para RC4 em uma conexão HTTPS, a menos que a primeira tentativa de conexão falhe, então servidores que já suportam um conjunto de cifradores não RC4 não verão nenhuma mudança.”

A Microsoft fez o anúncio oficial ontem. “O Microsoft Edge e o Internet Explorer 11 utilizam RC4 apenas durante uma reversão do TLS 1.2 ou 1.1 para TLS 1.0. Uma reversão para TLS 1.0 com RC4 é muitas vezes o resultado de um erro inocente, mas isso é indistinguível de um ataque man-in-the-middle. Por essa razão, o RC4 será totalmente desativado por padrão para todos os usuários do Microsoft Edge e Internet Explorer no Windows 7, Windows 8.1 e Windows 10 a partir do início de 2016”, explicou Alec Oot, um Gerente de Programa da Microsoft.

A Microsoft pretendia descontinuar o algoritmo SHA-1 em 2013. O Internet Explorer não oferece conjuntos de cifradores baseados em RC4 durante o handshake inicial do TLS/SSL como a primeira opção.