Kein RC4 mehr einsetzen! Das ist bereits länger eine Empfehlung. Nach und nach wird die Unterstützung für das unsichere Verschlüsselungsverfahren RC4 von diversen Browsern abgeschafft. Ab sofort zählen zu den Verweigerern der unsicheren Stromverschlüsselung auch der Internet Explorer 11 und Microsoft Edge. Verschlüsselung im Allgemeinen und die Verschlüsselung des Internet-Verkehrs ist für die Privatsphäre und Sicherheit im Internet essentiell. Überholte Verschlüsselungsverfahren wie RC4 sind deshalb eine Gefahr, da sich der Nutzer sicher fühlt, es aber nicht ist.
Bereits seit Anfang 2015 rät die IETF dazu kein RC4 mehr einzusetzen!
Verschlüsselungsverfahren werden zwischen Client und Server ausgehandelt. Erst wenn beide Parteien die Möglichkeit haben den gleichen Verschlüsselungsalgorithmus einzusetzen, kann verschlüsselter Verkehr stattfinden. Unterstützt ein Browser per se ein Verschlüsselungsverfahren nicht (mehr), dann kann es auch nicht verwendet werden. Aufgrund der Berechenbarkeit von RC4 rät bereits seit 2015 die IETF von der Verwendung ab. Gründe kann man im RFC 7465 nachlesen. Die Quintessenz des RFC ist:
“As a result, RC4 can no longer be seen as providing a sufficient level of security for TLS sessions.“
Manuell lässt sich die Verwendung von Verschlüsselungs- und Hashverfahren zwar unterbinden, jedoch nicht sehr komfortabel und wenig geeignet für die breite Masse. Aus diesem Grund ist der Ausschluss von RC4 ein wichtiger Schritt in Richtung mehr Sicherheit im Internet!
Kein RC4 mehr im Internet Explorer 11 und Microsoft Edge – das Fazit
Ab und an kommt RC4 noch zum Einsatz, um als “letzter gemeinsamer Nenner” herhalten zu können. Es diente dazu, wenn man sich auf kein Verschlüsselungsverfahren einigen konnte, zumindestens auf RC4 zurückgreifen zu können. Damit spielte man dann zusätzlich der NSA in die Arme, denn angeblich entschlüsselt die nationale Sicherheitsbehörde das unsichere Verschlüsselungsverfahren RC4 in Echtzeit. Damit ist jetzt Schluss. Microsoft ist jedoch das Schlusslicht, denn der Firefox unterstützt seit Version 44 nicht mehr RC4 und Google Chrome verbietet das unsichere Verschlüsselungsverfahren seit Version 48.
Weitere Informationen und Quellen
[1] Support.Microsoft.com – RC4 is no longer supported in Internet Explorer 11 or Microsoft Edge
[2] Blogs.Windows.com – RC4 is now deprecated in Microsoft Edge and Internet Explorer 11
[3] IETF – RFC 7465
[4] RC4 NOMORE: Forscher knacken RC4 in 52 Stunden – Heise.de
[5] IETF verbietet RC4-Verschlüsselung mit TLS – Heise.de
[6] NSA entschlüsselt Webserver-Daten angeblich in Echtzeit – Heise.de
[7] Verschlüsselung: Microsofts Edge und Internet Explorer 11 werfen RC4 über Bord