Codici RC4 abilitati
Avvertenza correlata
“Questo server utilizza l’algoritmo di codice RC4 che non è sicuro. Disabilita il pacchetto di codice RC4 e aggiorna il server web o il dispositivo per supportare l’algoritmo di crittografia Advanced Encryption Standard (AES).”
Problema
RC4 è un cifrario a flusso progettato da Ron Rivest nel 1987. L’attacco BEAST è stato scoperto nel 2011. La soluzione per mitigare l’attacco è abilitare TLS 1.1 e TLS 1.2 su server e nei browser.
Tuttavia, se non sei riuscito ad abilitare TLS 1.1 e TLS 1.2, viene fornita una soluzione alternativa: configurare SSL per dare priorità alle crittografie RC4 rispetto alle crittografie basate su blocchi. Questa soluzione alternativa non elimina l’esposizione all’attacco BEAST ma “limita” l’esposizione all’attacco BEAST.
Poiché RC4 è facile da implementare e a causa della soluzione alternativa per l’attacco BEAST, l’uso del cifrario a flusso RC4 è ampio.
Un gruppo di ricercatori (Nadhem AlFardan, Dan Bernstein, Kenny Paterson, Bertram Poettering e Jacob Schuldt) ha scoperto un nuovo attacco contro TLS in cui un pirata utilizza un browser per effettuare numerose connessioni mentre osserva e registra il traffico di tali connessioni.
Soluzione
Abilita TLS 1.2 o TLS 1.3 su server che supportano questi protocolli e passa ai pacchetti di codici AEAD (AES-GCM).
Abilita TLS 1.2 o TLS 1.1 nei browser che supportano questi protocolli.
Soluzione alternativa
Disabilita tutti i pacchetti di codici basati su RC4 nella configurazione SSL del tuo server. Usa solo questa soluzione alternativa se non puoi abilitare TLS 1.2 o TLS 1.3 su server e nei browser.