RC4-Chiffrierschlüssel aktiviert

Entsprechende Warnung

"Dieser Server verwendet den unsicheren RC4-Chiffrieralgorithmus. Deaktivieren Sie die RC4-Verschlüsselungssammlung, und aktualisieren Sie auf dem Webserver oder dem Gerät die Unterstützung des AES-Verschlüsselungsalgorithmus (Advanced Encryption Standard).”

Problem

RC4 ist eine Flusschiffre, die 1987 von Ron Rivest entwickelt wurde. Der BEAST-Angriff wurde 2011 entdeckt. Aktivieren Sie zur Abschwächung des Angriffs TLS 1.1 und TLS 1.2 auf Servern und in Browsern. Sollten Sie TLS 1.1 und TLS 1.2 nicht aktivieren können, gibt es eine Problemumgehung: Konfigurieren Sie SSL für die Priorisierung des RC4-Chiffrierschlüssels über blockbasierte Chiffren. Diese Problemumgehung beseitigt nicht die Bedrohung durch den BEAST-Angriff, sondern sie “begrenzt” sie.

Da RC4 einfach zu implementieren ist, und wegen der Problemumgehung für den BEAST-Angriff ist die Benutzung der RC4-Flusschiffre weit verbreitet.

Eine Gruppe von Forschern (Nadhem AlFardan, Dan Bernstein, Kenny Paterson, Bertram Poettering und Jakob Schuldt) entdeckte einen neuen Angriff auf TLS, bei dem ein Angreifer einen Browser verwendet, um zahlreiche Verbindungen herzustellen, während er den Datenverkehr dieser Verbindungen beobachtet und aufnimmt.

Lösung

  • Aktivieren Sie TLS 1.2 oder TLS 1.3 auf Servern, die diese Protokolle unterstützen und wechseln Sie zu AEAD-Verschlüsselungssammlungen (AES-GCM).
  • Aktivieren Sie TLS 1.2 oder TLS 1.1 in Webbrowsern, die diese Protokolle unterstützen.

Problemumgehung

Deaktivieren Sie alle RC4-basierten Verschlüsselungssammlungen in der SSL-Konfiguration Ihres Servers. Verwenden Sie diese Problemumgehung nur, wenn Sie TLS 1.2 oder TLS 1.3 nicht auf Servern und in Browsern aktivieren können.