RC4 im Webbrowser deaktivieren

RC4 im Webbrowser deaktivieren

Da bereits seit einer Weile Schwachstellen im RC4‐Stromchiffre bekannt sind und in letzter Zeit spekuliert wurde, dass gewisse Regierungsorganisationen in der Lage sind, RC4 im TLS‐Protokoll zu brechen, empfehlen wir, Cipher Suites, die RC4 beinhalten, im Webbrowser zu deaktivieren.

Mozilla Firefox

Einstellungen zur SSL/TLS‐Protokollfamilie können über about:config vorgenommen werden.

Sucht man nach „rc4“, erhält man eine Liste aller RC4‐Cipher Suites, die deaktiviert werden können, indem man den Konfigurationswert auf false setzt.

RC4‐Cipher Suites in Mozilla Firefox deaktivieren

Chromium

In Chromium müssen Einstellungen zur SSL/TLS-Protokollfamilie über Kommandozeilenoptionen gesetzt werden. Um diese nicht jedes Mal beim Start eingeben zu müssen, können sie auch in der Umgebungsvariable CHROMIUM_USER_FLAGS angegeben werden.

Cipher Suites werden an Hand ihrer numerischen Kennung deaktiviert:

chromium-browser --cipher-suite-blacklist=0xc007,0xc011,0x0066,0xc00c,0xc002,0xc005,0xc004

KennungName der Cipher Suite
0xc007ECDHE-ECDSA-RC4128-SHA
0xc011ECDHE-RSA-RC4128-SHA
0x0066DHE-DSS-RC4128-SHA
0xc00cECDH-RSA-RC4128-SHA
0xc002ECDH-ECDSA-RC4128-SHA
0xc005RSA-RC4128-SHA
0xc004RSA-RC4128-MD5

Siehe auch: http://nyantec.com/de/2013/11/07/rc4-im-webbrowser-deaktivieren/