Microsoft is gestopt met het ondersteunen van het uit 1987 stammende RC4-algoritme in Internet Explorer 11 en Edge voor het opzetten van versleutelde verbindingen. Https ondersteunt verschillende algoritmen voor het opzetten van een versleutelde verbinding, waarbij een deel van de sites van RC4 gebruikmaakt.
Ondanks de leeftijd van RC4, dat voor het eerst in 1987 werd beschreven, en het feit dat onderzoekers er vaker aanvallen op hebben gedemonstreerd, wordt het nog steeds gebruikt. Vanwege de gedemonstreerde aanvallen besloot de Internet Engineering Task Force (IETF) het gebruik van RC4 met tls te verbieden. Internet Explorer 11 en Microsoft Edge gebruikten RC4 alleen nog als ze niet via een sterker algoritme verbinding konden maken en zodoende op RC4 moesten terugvallen.
Microsoft laat weten dat het terugvallen op RC4 vaak het gevolg van een onschuldige fout is, maar het niet valt te onderscheiden van een man-in-the-middle-aanval waarbij wordt geprobeerd om het verkeer van gebruikers te onderscheppen. Daarom is er nu een update uitgerold die RC4 in beide browsers uitschakelt. Eerder deden ook Mozilla en Google dit voor Firefox en Chrome.
Volgens Microsoft zullen de meeste gebruikers de aanpassing niet merken. "Het percentage van de webdiensten dat alleen RC4 ondersteunt is klein en aan het afnemen", aldus Microsofts Brent Mills. Organisaties die voor hun webdiensten nog steeds van RC4 gebruikmaken krijgen dan ook het advies maatregelen te nemen en tls 1.2 in te schakelen.
Deze posting is gelocked. Reageren is niet meer mogelijk.