Codici RC4 abilitati

Avvertenza correlata

"Questo server utilizza l’algoritmo di codice RC4 che non è sicuro. Disabilita il pacchetto di codice RC4 e aggiorna il server web o il dispositivo per supportare l’algoritmo di crittografia Advanced Encryption Standard (AES).”

Problema

RC4 è un cifrario a flusso progettato da Ron Rivest nel 1987. L’attacco BEAST è stato scoperto nel 2011. La soluzione per mitigare l’attacco è abilitare TLS 1.1 e TLS 1.2 su server e nei browser. Tuttavia, se non sei riuscito ad abilitare TLS 1.1 e TLS 1.2, viene fornita una soluzione alternativa: Configura SSL per dare priorità ai codici RC4 rispetto ai codici basati su blocchi. Questa soluzione alternativa non elimina l’esposizione all’attacco BEAST ma “limita” l’esposizione all’attacco BEAST.

Poiché RC4 è facile da implementare e a causa della soluzione alternativa per l’attacco BEAST, l’uso del cifrario a flusso RC4 è ampio.

Un gruppo di ricercatori (Nadhem AlFardan, Dan Bernstein, Kenny Paterson, Bertram Poettering e Jacob Schuldt) ha scoperto un nuovo attacco contro TLS dove un pirata utilizza un browser per effettuare numerose connessioni mentre osserva e registra il traffico di tali connessioni.

Soluzione

  • Abilita TLS 1.2 o TLS 1.3 su server che supportano questi protocolli e passa ai pacchetti di codici AEAD (AES-GCM).
  • Abilita TLS 1.2 o TLS 1.1 nei browser che supportano questi protocolli.

Soluzione alternativa

Disabilita tutti i pacchetti di codici basati su RC4 nella configurazione SSL del tuo server. Usa solo questa soluzione alternativa se non puoi abilitare TLS 1.2 o TLS 1.3 su server e nei browser web.