Verschlüsselung: Microsofts Edge und Internet Explorer 11 werfen RC4 über Bord
Ab sofort öffnen die Webbrowser Edge und Internet Explorer 11 keine Webseiten mehr, die auf das RC4-Verschlüsselungsverfahren setzen. Das dafür nötige Update verteilt Microsoft aktuell.
Nach der Installation des kumulativen Updates KB3151631 über Windows Update unterstützen Edge und der Internet Explorer 11 ab Windows 7 nicht mehr den ehemaligen Eckpfeiler der Verschlüsselung von Datenverkehr RC4. Das hat Microsoft in einem Blog-Eintrag bekanntgegeben.
Bisher haben die beiden Webbrowser einen Fallback von TLS 1.2 oder TLS 1.1 auf TLS 1.0 RC4 erlaubt; dies ist nun nicht mehr möglich. Entsprechende Webseiten lassen sich nicht mehr öffnen. Die Anzahl von derartigen Internetseiten ist aber gering und schrumpft stetig: 2013 kam RC4 noch bei der Hälfte aller TLS-Verbindungen zum Einsatz; Ende 2015 nur noch bei sieben Prozent, erläutert der Krypto-Forscher Kenny Paterson.
Vor rund einem Jahr kündigten neben Microsoft auch Google und Mozilla diesen Schritt für ihre Webbrowser an. Mozilla warf das Verschlüsselungsverfahren Anfang dieses Jahres mit Firefox 44 über Bord. Googles Chrome unterstützt RC4 seit der Version 48 nicht mehr standardmäßig.
RC4 ist unsicher
Damit folgen Google, Microsoft und Mozilla dem RC4-Verbot der Internet Engineering Task Force (IETF). Der Grund für dieses Vorgehen ist der, dass RC4 bereits seit längerer Zeit als geknackt gilt. Krypto-Experten gehen davon aus, dass die NSA in der Lage ist, die Stromverschlüsselung in Echtzeit zu dechiffrieren. Mitte vergangenen Jahres gelang es belgischen Sicherheitsforschern einen Sitzungs-Cookie aus RC4-verschlüsseltem Datenverkehr in 52 Stunden zu knacken.
Lesen Sie dazu auch:
(des)
