Webbrowser: Endgültig Schluss mit RC4
Google, Microsoft und Mozilla machen Ernst: Die hauseigenen Webbrowser sollen ab 2016 keine Verbindung mehr zu HTTPS-Servern aufbauen, die die unsichere Verschlüsselung via RC4 benutzen.
Ab Anfang 2016 sollen die Webbrowser Chrome, Edge, Firefox und Internet Explorer 11 das als unsicher geltende Verschlüsselungsverfahren RC4 nicht mehr unterstützen. Das teilten Google, Microsoft und Mozilla mit.
RC4 war lange ein Eckpfeiler bei der Verschlüsselung von Datenverkehr. Vor rund zwei Jahren haben noch mehr als 90 Prozent aller Web-Server RC4 unterstützt. 36 Prozent nutzten es aktiv – darunter fast alle großen Webseiten. Aber schon länger gilt RC4 als unsicher. Jüngst konnten belgische Forscher Sitzungs-Cookies aus RC4-verschlüsseltem Datenverkehr in Rekordzeit rekonstruieren. Anfang 2015 hat die Internet Engineering Task Force die RC4-Verschlüsselung in TLS verboten.
Webseiten mit RC4 nicht mehr abrufbar
Dem Sicherheitschef von Mozilla Richard Barnes zufolge soll die RC4-Unterstützung ab Firefox 44 standardmäßig deaktiviert sein. Die Version soll am 26. Januar 2016 erscheinen. Google peile die Veröffentlichung der entsprechenden Chrome-Version zwischen Januar und Februar kommenden Jahres an. Microsoft grenzt den Zeitraum weniger präzise ein und spricht von Anfang 2016.
Die Webbrowser können den Entwicklern zufolge dann keine Webseiten mehr aufrufen, die ausschließlich auf RC4 setzen. Einen Fallback soll es nicht geben. Um Kompatibilitätsprobleme mache man sich keine Sorgen. Mozilla zufolge bauen lediglich 0,08 Prozent aller Verbindungen von der stabilen Firefox-Version auf RC4. Bei Chrome sollen es 0,13 Prozent sein. Admins von Web-Servern vergleichsweise einfach eine sicherere Cipher Suite aktivieren. Eine gute Anleitung dazu gibt Applied Crypto Hardening (PDF-Download). (des)
