image

Microsoft stopt RC4-ondersteuning Edge en IE11

woensdag 10 augustus 2016, 12:30 door Redactie, 4 reacties

Microsoft is gestopt met het ondersteunen van het uit 1987 stammende RC4-algoritme in Internet Explorer 11 en Edge voor het opzetten van versleutelde verbindingen. Https ondersteunt verschillende algoritmen voor het opzetten van een versleutelde verbinding, waarbij een deel van de sites van RC4 gebruikmaakt.

Ondanks de leeftijd van RC4, dat voor het eerst in 1987 werd beschreven, en het feit dat onderzoekers er vaker aanvallen op hebben gedemonstreerd, wordt het nog steeds gebruikt. Vanwege de gedemonstreerde aanvallen besloot de Internet Engineering Task Force (IETF) het gebruik van RC4 met tls te verbieden. Internet Explorer 11 en Microsoft Edge gebruikten RC4 alleen nog als ze niet via een sterker algoritme verbinding konden maken en zodoende op RC4 moesten terugvallen.

Microsoft laat weten dat het terugvallen op RC4 vaak het gevolg van een onschuldige fout is, maar het niet valt te onderscheiden van een man-in-the-middle-aanval waarbij wordt geprobeerd om het verkeer van gebruikers te onderscheppen. Daarom is er nu een update uitgerold die RC4 in beide browsers uitschakelt. Eerder deden ook Mozilla en Google dit voor Firefox en Chrome.

Volgens Microsoft zullen de meeste gebruikers de aanpassing niet merken. "Het percentage van de webdiensten dat alleen RC4 ondersteunt is klein en aan het afnemen", aldus Microsofts Brent Mills. Organisaties die voor hun webdiensten nog steeds van RC4 gebruikmaken krijgen dan ook het advies maatregelen te nemen en tls 1.2 in te schakelen.

Reacties (4)
10-08-2016, 19:54 door Anoniem
Ik vind dit toch wel een beetje dat de kok bepaalt wat jij eet...
wat is er mis met een menu voorgeschoteld krijgen?

Nu kan ik niet eens meer mijn satelliet telefoon gegevens inzien, want, HTTPS is verouderd...
Ja boeien, dat wil IK wel bepalen... nu bepalen de koks, chrome, firefox en zelfs Edge dat ik geen friet met kip en appelmoes mag eten...
11-08-2016, 00:48 door Anoniem
@Anoniem 19:54

Als jij zo graag onveilige, verouderde cryptografie wilt gebruiken dan update je je browser toch gewoon niet? Ik bedoel, als je dit wilt dan zal security je toch niet veel kunnen schelen...

Overigens biedt Firefox de mogelijkheid om RC4 weer in te schakelen via about:config, maar ik zou niet weten waar jij dat voor nodig hebt.
11-08-2016, 06:05 door Anoniem
Door Anoniem: Ik vind dit toch wel een beetje dat de kok bepaalt wat jij eet...
wat is er mis met een menu voorgeschoteld krijgen?

Nu kan ik niet eens meer mijn satelliet telefoon gegevens inzien, want, HTTPS is verouderd...
Ja boeien, dat wil IK wel bepalen... nu bepalen de koks, chrome, firefox en zelfs Edge dat ik geen friet met kip en appelmoes mag eten...

kook dan zelf.
11-08-2016, 09:38 door Anoniem
minst onveilige workaround: gebruik voor die ene verbinding portable Firefox van een oude versie waarin je nogwel rc4 kan gebruiken.
Paul
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.