Browsere dropper RC4

Artiklen blev oprindeligt publiceret den 14/9/2015

Browserne Internet Explorer, Edge, Chrome og Firefox holder op med at understøtte den aldrende krypteringsalgoritme RC4 efter nytår. Det sker, fordi den ikke længere regnes for sikker.

RC4 blev opfundet i 1987 af Ron Rivest. Algoritmen var populær på tidlige webservere med HTTPS, fordi den var hurtig.

Siden har sikkerhedsforskere fundet flere sikkerhedsproblemer med algoritmen. Det skulle således være muligt at dekryptere cookies inden for 52 timer.

Derfor anbefaler eksperter, at man holder op med at bruge algoritmen. Fra næste år vil nogle af de mest udbredte browsere ikke længere understøtte den. Hvis brugere forsøger at besøge en webserver, der kun tilbyder RC4, vil de således ikke kunne kommunikere krypteret med den.

I praksis ventes det ikke at give mange problemer. De fleste webservere tilbyder en række algoritmer, som browseren kan vælge imellem.

Mozilla dropper RC4 med Firefox 44, der ventes ude den 26. januar 2016. Google gør det i en version af Chrome, der kommer i januar eller februar.

Microsoft slukker for RC4 i både Internet Explorer og Edge i begyndelsen af 2016.

Anbefaling
Hvis I bruger RC4 til webkommunikation, bør I tilbyde et alternativ.

Links

• Microsoft, Google, Mozilla to Kill RC4 in Browsers, artikel fra SecurityWeek
• Deprecating the RC4 Cipher, blogindlæg fra Mozilla
• RC4 NOMORE - Numerous Occurrence MOnitoring & Recovery Exploit