Шифр RC4 включен

Связанное предупреждение

"Этот сервер использует алгоритм шифрования RC4, который не является безопасным. Отключите набор шифров RC4 и обновите веб-сервер или устройство для поддержки алгоритма шифрования «Усовершенствованный стандарт шифрования» (AES).”

Проблема

RC4 — это потоковый шифр, разработанный Роном Ривестом в 1987 году. Атака BEAST была обнаружена в 2011 году. Решение для уменьшения воздействия атаки состоит в том, чтобы включить TLS 1.1 и TLS 1.2 на серверах и в браузерах. Тем не менее, если вы не смогли включить TLS 1.1 и TLS 1.2, предусмотрено временное решение: Настройте SSL для определения приоритета шифров RC4 относительно блочно-ориентированных шифров. Данное временное решение не устраняет уязвимость для атаки BEAST, но “ограничивает” уязвимость для атаки BEAST.

Поскольку RC4 прост в реализации и из-за наличия лишь временного решения в отношении атаки BEAST, использование потокового шифра RC4 широко распространено.

Группа исследователей (Надхем Аль-Фардан (Nadhem AlFardan), Дэн Бернштайн (Dan Bernstein), Кенни Патерсон (Kenny Paterson), Бертрам Пэттеринг (Bertram Poettering) и Джейкоб Шульдт (Jacob Schuldt)) обнаружили новую атаку на TLS, когда злоумышленник использует браузер для создания многочисленных соединений, наблюдая и записывая трафик указанных соединений.

Способ устранения

  • Включите TLS 1.2 или TLS 1.3 на серверах, которые поддерживают эти протоколы, и переключитесь на наборы шифров AEAD (AES-GCM).
  • Включите TLS 1.2 или TLS 1.1 в браузерах, которые поддерживают эти протоколы.

Частичное решение

Отключите все RC4-ориентированные наборы шифров в конфигурации SSL вашего сервера. Используйте данное частичное решение, только если вы не можете включить TLS 1.2 или TLS 1.3 на серверах и в веб-браузерах.