Skip to main content

RC4 cipher enabled

Alerta relacionado

Este servidor usa o algoritmo de cifra RC4 que não é seguro. Desabilite o conjunto de cifras RC4 e atualize o servidor web ou dispositivo para suportar o algoritmo de cifra Advanced Encryption Standard (AES).”

Problema

RC4 é uma codificação de fluxo projetada por Ron Rivest em 1987. O ataque BEAST foi descoberto em 2011. A solução para mitigar o ataque é habilitar TLS 1.1 e TLS 1.2 nos servidores e nos navegadores.

No entanto, se você não conseguiu habilitar o TLS 1.1 e o TLS 1.2, uma solução alternativa é fornecida: configure o SSL para priorizar as cifras RC4 sobre as cifras baseadas em bloco. Esta solução alternativa não elimina a exposição ao ataque BEAST, mas “limita” a exposição ao ataque BEAST.

Como o RC4 é fácil de implementar e devido à solução alternativa de ataque BEAST, o uso da cifra de fluxo RC4 é generalizado.

Um grupo de pesquisadores (Nadhem AlFardan, Dan Bernstein, Kenny Paterson, Bertram Poettering e Jacob Schuldt) descobriram um novo ataque contra TLS em que um invasor usa um navegador para fazer diversas conexões enquanto assiste e registra o tráfego de tais conexões.

Solução

  • Habilite TLS 1.2 ou TLS 1.3 nos servidores que suportam estes protocolos e alterne para pacotes de codificação AEAD (AES-GCM).

  • Habilite TLS 1.2 ou TLS 1.1 nos navegadores que suportam estes protocolos.

Alternativa

Desative todos os conjuntos de criptografia baseados em RC4 na configuração SSL do seu servidor. Apenas use esta alternativa se não conseguir habilitar TLS 1.2 ou TLS 1.3 nos servidores e nos navegadores.