Cómo bloquear el cifrado RC4 inseguro en Firefox y Chrome

Cada vez que se conecta a un sitio web seguro mediante Firefox o cualquier otro navegador moderno, se llevan a cabo negociaciones en segundo plano que determinan qué se está utilizando para cifrar la conexión.

RC4 es un cifrado de flujo que actualmente es compatible con la mayoría de los navegadores, aunque solo se puede usar como respaldo (si fallan otras negociaciones) o para sitios incluidos en la lista blanca.

Exploits tengo Han salido a la luz en los últimos tiempos que aprovechan las debilidades de RC4 que permiten a los atacantes ejecutar ataques en un período de tiempo razonable, por ejemplo, para descifrar las cookies web que a menudo contienen información de autenticación.

Mozilla quería para eliminar RC4 de Firefox por completo inicialmente en la versión 38 o 39 del navegador, pero decidió no hacerlo basándose en datos de telemetría. Tal como está ahora, RC4 no se desactivará en Firefox 39 o 40.

Consejo: puede comprobar si su navegador web es vulnerable mediante visitando este RC4 sitio web. Si ve notificaciones rojas en la página después de que se haya realizado el texto, significa que es vulnerable a los ataques.

Cabe señalar que otros navegadores, como Google Chrome, también son vulnerables. Google aparentemente también está trabajando en dejando caer RC4 soporte completo en Chrome

Deshabilitar RC4 en Firefox

Los usuarios de Firefox pueden desactivar RC4 en el navegador web por completo. Debe tenerse en cuenta que algunos sitios seguros pueden dejar de funcionar después de hacerlo.

1. Escriba about: config en la barra de direcciones del navegador y presione enter.
2. Confirme que tendrá cuidado si recibe un mensaje.
3. Busque RC4 y haga doble clic en las siguientes preferencias para configurarlas falso.
4. security.ssl3.ecdhe_ecdsa_rc4_128_sha
5. security.ssl3.ecdhe_rsa_rc4_128_sha
6. security.ssl3.rsa_rc4_128_md5
7. security.ssl3.rsa_rc4_128_sha

Una vez que haya realizado los cambios, vuelva a cargar la página de prueba vinculada anteriormente. Debería recibir mensajes de falla de conexión en lugar de advertencias cuando lo haga.

Si tiene problemas para conectarse a sitios seguros después de realizar los cambios, es posible que deba restaurar la compatibilidad con RC4. Para hacer eso, repita los pasos anteriores y asegúrese de que los valores de las preferencias se establezcan en verdadero después.

Deshabilitar RC4 en Chrome

El proceso es complicado en Chrome, ya que no puede simplemente cambiar un par de preferencias en el navegador web para deshabilitar RC4 en él.

La única opción válida es ejecutar Chrome con parámetros de línea de comando que bloquean RC4. Así es como se hace esto (instrucciones para Windows).

1. Haga clic con el botón derecho en el acceso directo de Chrome en la barra de tareas del sistema operativo, haga clic derecho de nuevo en Chrome y seleccione propiedades en el menú contextual que se abre.
2. Esto debería abrir las propiedades del archivo ejecutable.
3. Agregar –cipher-suite-blacklist = 0x0004,0x0005,0xc011,0xc007 como parámetro al final de la línea de destino. Asegúrese de que haya un espacio delante del parámetro.
4. La línea de destino se ve así en mi computadora después de agregar el parámetro: C: \ Users \ Martin \ AppData \ Local \ Chromium \ Application \ chrome.exe –cipher-suite-blacklist = 0x0004,0x0005,0xc011,0xc007
5. Nota: el tuyo variará según tu nombre de usuario y la versión de Chrome que hayas instalado.

El comando agrega RC4 a la lista negra de cifrado para que no sea utilizado por el navegador. Si vuelve a ejecutar la prueba, notará que fallará (lo cual es bueno).