Google Chrome, Microsoft Edge и Mozilla Firefox прекратят поддержку шифра RC4 к 2016 году

Основные браузеры объединяются, чтобы объявить о прекращении поддержки шифра RC4 к 2016 году

С целью сделать интернет-серфинг более безопасным для пользователей, Google, Microsoft и Mozilla пришли к соглашению о прекращении поддержки криптографического шифра RC4 в браузерах компаний к началу 2016 года.

RC4, также известный как Rivest Cipher 4, также известный как ARC4 или ARCFOUR, является потоковым шифром, используемым для криптографии в интернет-браузерах. Хотя он был замечательно простым и быстрым, в нем было обнаружено множество уязвимостей, что делает его наиболее небезопасным шифром. Он особенно уязвим, когда начало выходного потока ключей не отбрасывается или когда используются нерандомные или связанные ключи; некоторые способы использования RC4 могут привести к очень небезопасным протоколам, таким как WEP.

Гиганты браузеров решили полностью прекратить использование шифра RC4 с 2016 года. “Для Firefox это означает версию 44, которая в настоящее время запланирована к выпуску 26 января,” отметил Ричард Барнс из Mozilla. “То есть, начиная с Firefox 44, RC4 будет полностью отключен, если пользователь явно не включит его через одну из настроек.”

Google, с другой стороны, выпустит обновление Chrome в январе или феврале 2016 года. “Измерения показывают, что только 0,13% HTTPS-соединений, установленных пользователями Chrome (которые согласились на сбор статистики), в настоящее время используют RC4. Даже тогда операторы затронутых серверов, скорее всего, просто изменят свою конфигурацию, чтобы включить лучший набор шифров для обеспечения продолжения работы,” отметил Адам Лэнгли из Google.

“Текущие версии Chrome не рекламируют поддержку RC4 на HTTPS-соединении, если первая попытка соединения не удалась, поэтому серверы, которые уже поддерживают набор шифров, не основанный на RC4, не увидят никаких изменений.”

Microsoft сделала официальное заявление вчера. “Microsoft Edge и Internet Explorer 11 используют RC4 только во время отката с TLS 1.2 или 1.1 на TLS 1.0. Откат на TLS 1.0 с RC4 чаще всего является результатом невинной ошибки, но это неотличимо от атаки «человек посередине». По этой причине RC4 будет полностью отключен по умолчанию для всех пользователей Microsoft Edge и Internet Explorer на Windows 7, Windows 8.1 и Windows 10, начиная с начала 2016 года,” объяснил Алекс Ут, менеджер программы в Microsoft.

Microsoft намеревалась отказаться от алгоритма SHA-1 в 2013 году. Internet Explorer не предлагает наборы шифров на основе RC4 во время первоначального TLS/SSL рукопожатия в качестве первого варианта.