Microsoft, Google en Mozilla stoppen met RC4

Antieke versleuteling sterft eindelijk zachte, maar onverbiddelijke dood.

Google, Microsoft en Mozilla dumpen RC4. Deze antieke encryptiestandaard is aantoonbaar onveilig. In januari komen nieuwe versies van Edge, Internet Explorer, Chrome en Firefox uit die RC4 niet meer ondersteunen.

RC4 wordt gebruikt voor de versleuteling van SSL-verbindingen en is onder meer de basis van WEP (WiFi-beveiliging). De versleuteling is bedacht in 1987, maar al kwetsbaar getoond in 2001. Uit de Snowden-lekken blijkt dat de Amerikaanse geheime dienst RC4 realtime kan ontsleutelen.




In gelijktijdige maar separate postings hebben Microsoft, Google en Mozilla nu gezegd dat zij RC4 binnenkort helemaal niet meer ondersteunen. RC4 werd door de browsers nog gebruikt als mogelijkheid in TLS-fallback. Maar die mogelijkheid wordt steeds meer gebruikt door kwaadwillenden in een man-in-the-middle-aanval. RC4 wordt overigens nauwelijks nog gebruikt. Het wordt daarnaast al jarenlang afgeraden.

Mozilla heeft Firefox 44 op schema staan voor 26 januari en dat wordt het einde van de ondersteuning voor RC4. Microsoft houdt het voor zijn twee browsers op "begin 2016" en Google zegt in "januari of februari" te stoppen met RC4. Volgens cijfers van Google komt Chrome nog maar in 0.13 procent van de gevallen verbindingen met RC4 tegen.