Google, Microsoft и Mozilla договорились о дате, когда в четырех популярных браузерах уберут поддержку уязвимого криптографического протокола RC4. Разработчики Chrome, Edge, IE и Firefox сделают это одновременно в конце января – начале февраля 2016 года.

Если в прошлые годы атаки на RC4 носили скорее теоретический характер и были возможны только в искусственных условиях, то сейчас ситуация изменилась. Такие атаки можно реально осуществлять на практике (1, 2, 3), так что доверие к RC4 тает с каждым днем. Инженерный совет интернета (IETF) в феврале 2015 года опубликовал рекомендацию отказаться от шифра RC4.

Представитель Mozilla сказал, что согласованный срок совпадает с датой выпуска Firefox 44, релиз по графику запланирован на 26 января 2016 года.

Сотрудники Google пока не могут назвать точную дату. Главный специалист по криптографии Адам Лэнгли (Adam Langley) заверил, что компания уложится в установленные сроки: выпуск Chrome на стабильном канале ожидается в январе-феврале. После этого браузер перестанет устанавливать соединения с HTTPS-серверами, которые поддерживают только RC4. По данным Mozilla и Google, таких серверов в интернете очень мало. Статистика Chrome показывает, что лишь в 0,13% всех HTTPS-соединений используется RC4.

В официальном блоге Microsoft тоже объявлено об отказе от RC4 в браузерах Microsoft Edge и Internet Explorer 11.

Потоковому шифру RC4 исполнилось 28 лет. Несмотря на почтенный возраст, он до сих пор широко применяется в различных системах защиты информации в компьютерных сетях, например, в протоколах SSL и TLS, алгоритмах обеспечения безопасности беспроводных сетей WEP и WPA.

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии