Skip to main content

RC4-Chiffrierschlüssel aktiviert

Entsprechende Warnung

Dieser Server verwendet den unsicheren RC4-Chiffrieralgorithmus. Deaktivieren Sie die RC4-Verschlüsselungssammlung, und aktualisieren Sie auf dem Webserver oder dem Gerät die Unterstützung des AES-Verschlüsselungsalgorithmus (Advanced Encryption Standard).

Problem

RC4 ist eine Flusschiffre, die 1987 von Ron Rivest entwickelt wurde. Der BEAST-Angriff wurde 2011 entdeckt. Aktivieren Sie zur Abschwächung des Angriffs TLS 1.1 und TLS 1.2 auf Servern und in Browsern.

Wenn Sie TLS 1.1 und TLS 1.2 jedoch nicht aktivieren konnten, gibt es eine Abhilfe: Konfigurieren Sie SSL so, dass RC4-Chiffren gegenüber blockbasierten Chiffren bevorzugt werden. Diese Problemumgehung beseitigt nicht die Bedrohung durch den BEAST-Angriff, sondern sie „begrenzt“ sie.

Da RC4 einfach zu implementieren ist, und wegen der Problemumgehung für den BEAST-Angriff ist die Benutzung der RC4-Flusschiffre weit verbreitet.

Eine Gruppe von Forschern (Nadhem AlFardan, Dan Bernstein, Kenny Paterson, Bertram Poettering und Jakob Schuldt) entdeckte einen neuen Angriff auf TLS, bei dem ein Angreifer einen Browser verwendet, um zahlreiche Verbindungen herzustellen, während er den Datenverkehr dieser Verbindungen beobachtet und aufnimmt.

Lösung

  • Aktivieren Sie TLS 1.2 oder TLS 1.3 auf Servern, die diese Protokolle unterstützen und wechseln Sie zu AEAD-Verschlüsselungssammlungen (AES-GCM).

  • Aktivieren Sie TLS 1.2 oder TLS 1.1 in Webbrowsern, die diese Protokolle unterstützen.

Problemumgehung

Deaktivieren Sie alle RC4-basierten Verschlüsselungssammlungen in der SSL-Konfiguration Ihres Servers. Verwenden Sie diese Problemumgehung nur, wenn Sie TLS 1.2 oder TLS 1.3 nicht auf Servern und in Browsern aktivieren können.