Interessante mossa nel settore dei browser: Microsoft, Google e Mozilla hanno contemporaneamente annunciato che dall’inizio del 2016 i rispettivi browser non supporteranno più l’RC4, uno tra i più noti e diffusi algoritmi di cifratura, utilizzato ampiamente in protocolli quali l’SSL e il WEP.
L’RC4 è in circolazione del 1987, sviluppato da RSA Security e usato nel web e dai servizi online per vari scopi, principalmente per attivare connessioni “sicure” e la cifratura TLS per la protezione dei dati delle connessioni internet e delle reti TCP/IP in genere.
Attacchi recenti, spiega InformationWeek, avrebbero dimostrato la possibilità di craccare l’RC4 in poche ore ed evidenziato l’assenza di entropia (la grandezza che definisce il livello di incertezza) nel meccanismo di cifratura . Questa problematica avrebbe portato l’Internet Engineering Task Force (organismo che si occupa dell’evoluzione di Internet) a vietare l’RC4 nelle negoziazioni TLS.
Google pianifica di disabilitare RC4 con le future versioni di Chrome, probabilmente dalla release “stable” che si vedranno da gennaio o febbraio. La grande “G” ha spiegato che, in base a sue statistiche interne, solo lo 0.13 delle connessioni HTTPS degli utenti che sfruttano Chrome sfrutta al momento l’RC4.
Microsoft prevede di disabilitare l’RC per default da Edge ed Internet Explorer in Windows 10, Windows 7.x e Windows 8.1 a partire dall’inizio del 2016. La Casa di Redmond afferma che la percentuale dei servizi web non sicuri che supportano solo l’RC4 “è notoriamente piccolo e in diminuzione”.
Mozilla prevede l’addio a RC4 con Firefox 44, al momento previsto per gennaio del 2016; anche Mozilla afferma che sono pochi gli utenti che hanno bisogno dell’RC4: solo lo 0.08% dei suoi utenti lo utilizza.