Google, Microsoft e Mozilla irão abandonar criptografia RC4 em seus navegadores

Por Redação | 03 de Setembro de 2015 às 08h15

Google, Microsoft e Mozilla anunciaram que estão trabalhando para desabilitar o suporte ao RC4 nas próximas versões dos navegadores Google Chrome, Microsoft Edge, Internet Explorer e Mozilla Firefox. O algoritmo simétrico de criptografia de fluxo, que está desatualizado, deverá ser abandonado pelos browsers no início do próximo ano.

O RC4 é uma criptografia de fluxo projetado no ano de 1987, quando foi amplamente adotado por vários navegadores e serviços online com fins de criptografia. No entanto, muitas vulnerabilidades foram descobertas ao longo dos anos. Em 2013, pesquisadores da Universidade de Londres comunicaram um ataque que podia se efetivar através da interceptação de 224 conexões. Levando em conta que naquele ano uma grande quantidade de tráfego TLS utilizasse RC4 para evitar ataques em criptografia, caso estes ataques acontecessem, a combinação de TLS com RC4 tornaria inseguro um grande número de cenários práticos.

Em fevereiro deste ano, novos ataques levaram a IETF (Internet Engineering Task Force) a proibir o uso de RC4 com TLS e desenvolvedores de navegadores fizeram ajustes para garantir que eles só utilizassem o RC4 quando fosse absolutamente necessário.

O Google planeja desativar o suporte ao RC4 em uma versão futura do Chrome. Enquanto a empresa não forneceu uma data específica, a expectativa é que o navegador deixe o suporte de lado entre janeiro ou fevereiro de 2016. O Google também informou que apenas 0,13% das conexões HTTPS feitas por usuários do navegador usam RC4.

Já a Microsoft planeja desativar o RC4 por padrão para todos os usuários do Microsoft Edge e do Internet Explorer no Windows 7, Windows 8.1 e Windows 10. Isso deverá acontecer a partir de 2016. A empresa também afirmou que a porcentagem de serviços web inseguros que suportam apenas o RC4 é pequeno e está encolhendo.

A Mozilla é a única que definiu uma data para abandonar em definitivo o RC4. O Firefox 44 não contará com tal criptografia de fluxo no dia 26 de janeiro, data em que deverá estar disponível para os usuários de todo o mundo. A Mozilla também compartilhou que cerca de 0,08% dos usuários do Firefox ainda utilizam RC4.

Ao todo, os servidores HTTPS que suportam apenas RC4 irão parar de funcionar nos principais navegadores no início de 2016. Sendo assim, se você ainda está apoiando o RC4, é hora de seguir em frente.

Via VentureBeat

Fonte: http://venturebeat.com/2015/09/01/google-microsoft-and-mozilla-will-drop-rc4-support-in-chrome-edge-ie-and-firefox-next-year/

Canaltech no Facebook

Mais de 370K likes. Curta nossa página você!