HTTPS: Google, Mozilla und Microsoft wollen RC4 abschalten

2. September 2015, 13:26
5 Postings

Ab Anfang 2016 – Veralteter Algorithmus bietet keine ausreichende Absicherung von verschlüsselten Verbindungen

Die nachfolgende Meldung entstammt der beliebten Kategorie "Zeit wird's". Mit Mozilla, Google und Microsoft verkünden nun die drei größten Browserhersteller, dass sie sich vom veralteten RC4-Cipher zur Verschlüsselung von Datenverbindungen verabschieden wollen. Dies berichtet Venturebeat.

"Verbot"

Der Algorithmus gilt seit langem als unsicher, vor einigen Monaten hat die Internet Engineering Task Force (IETF) sogar bereits ein "Verbot" der Nutzung von RC4 in Kombination mit TLS ausgesprochen. Diese Maßnahme folgte auf Berichte über neue Angriffsmethoden.

Hintergrund

Bisher schreckten die Browserhersteller vor einer vollständigen Entfernung von RC4 zurück, da noch immer ein gewisser Teil der Web-Server nur dieses Methode zur Verschlüsselung einsetzt. Mit der jetzigen Ankündigung will man diesen also wohl auch die Möglichkeit geben, endlich die nötigen Anpassungen vorzunehmen. Sicherere Methoden zur Verschlüsselung gibt es ohnehin schon seit geraumer Zeit.

Zeitraum

Ein konkretes Datum zur Entfernung von RC4 liefert bisher nur Mozilla: Mit Firefox 44, der am 26. Jänner 2016 erscheinen soll, soll dieser Schritt vollzogen werden. Bei Google spricht man etwas vage von Jänner oder Februar 2016, Microsoft will "Anfang 2016" mit der Entfernung beginnen.

Apple?

Die grundlegende Richtung ist damit aber vorgegeben. Ausständig ist hingegen noch die Herangehensweise von Apple für dessen Browser Safari. Von Opera ist zu erwarten, dass man diesen Schritt parallel zu Chrome vornimmt, der aktuell als Basis für den aus Norwegen stammenden Browser dient. (apo, 2.9.2015)

  • RC4 bietet aktuell bestenfalls noch die Illusion von Sicherheit.

    RC4 bietet aktuell bestenfalls noch die Illusion von Sicherheit.

Share if you care.