Microsoft Edge 及 IE11 結束對 RC4 加密技術的支援
微軟在 2015/9/1 正式結束 Microsoft Edge 及 Internet Explorer 11 對 RC4 加密技術的支援。而在 2016 年初,這兩個瀏覽器預設都會停用 RC4 加密,且不會於 TLS 加密協議中,當不支援其他加密方式時,自動轉而使用 RC4 加密。
資訊產業界已證實 RC4 加密技術無法達到足夠的加密性。因此微軟、Google (Chrome) 和 Mozilla (Firefox) 都已於 2015/9/1 停止 RC4 的支援。
什麼是 RC4 ?
RC4 是一種針對串流內容加密的技術,首次發表於 1987 年,這種加密方式已被大多數的瀏覽器及網路服務支援和使用。而如今攻擊者已公開示範如何於幾小時或幾天內破解 RC4 加密技術。典型的攻擊方式是利用 RC4 在金鑰流中傳遞的漏洞,進而推敲重複已加密過的內容,轉而解譯得到明文內容。在 2015 年 2 月,這些攻擊者建議網際網路工程任務小組(Internet Engineering Task Force, IETF)停止在 TLS 協議中使用 RC4。
我們該如何準備?
預計大多數的使用者在使用瀏覽器瀏覽頁面時,將不會感受這次調整的改變。只有極少數的僅支援 RC4 的網路服務會受到影響,而這些網路服務大多規模已漸漸萎縮或是即將汰換。如果您所架設的網路服務中有依賴使用 RC4 加密技術,您將會需要做一些改變。自從 2013 年開始,微軟已經建議我們的客戶於提供的服務中開始使用 TL2 1.2 加密協議,將支援 RC4 的服務移除替代,而更詳細替代建議可以參考:Security
Advisory 2868725.
- 本文翻譯自 Ending support for the RC4 cipher in Microsoft Edge and Internet Explorer 11