RC4 cipher enabled

Alerta relacionado

"Este servidor usa o algoritmo de codificação que não está protegido. Desabilite o pacote de codificação RC4 e atualize o servidor web ou aparelho para suportar o algoritmo de codificação Advanced Encryption Standard (AES).”

Problema

RC4 é uma codificação de fluxo projetada por Ron Rivest em 1987. O ataque BEAST foi descoberto em 2011. A solução para mitigar o ataque é habilitar TLS 1.1 e TLS 1.2 nos servidores e nos navegadores. Contudo, se você não conseguiu habilitar TLS 1.1 e TLS 1.2, uma alternativa é fornecida: Configure o SSL para priorizar codificações RC4 em codificações baseadas em blocos. Esta alternativa não elimina exposição ao ataque BEAST, mas realmente “limita” exposição ao ataque BEAST.

Como o RC4 é fácil de implementar e devido à alternativa ao ataquee BEAST, o uso da codificação de fluxo rc4 é amplo.

Um grupo de pesquisadores (Nadhem AlFardan, Dan Bernstein, Kenny Paterson, Bertram Poettering e Jacob Schuldt) descobriram um novo ataque contra TLS em que um invasor usa um navegador para fazer diversas conexões enquanto assiste e registra o tráfego de tais conexões.

Solução

  • Habilite TLS 1.2 ou TLS 1.3 nos servidores que suportam estes protocolos e alterne para pacotes de codificação AEAD (AES-GCM).
  • Habilite TLS 1.2 ou TLS 1.1 nos navegadores que suportam estes protocolos.

Alternativa

Desabilite todos os pacotes de codificação baseados em RC4 na configuração SSL do seu servidor. Apenas use esta alternativa se não conseguir habilitar TLS 1.2 ou TLS 1.3 nos servidores e nos navegadores web.