// Firefox RC4-Tweak

https ist gut, das wissen wir. Zumindest ist es besser als http ohne SSL. Doch etliche Websites setzen auf RC4 als kryptografischen Algorithmus. Beispielsweise verwendet Amazon RC4 mit 128 Bit. Der Vorteil von RC4 liegt klar in dessen Geschwindigkeit (für den Endanwender allerdings kaum bis gar nicht spürbar), doch gleichermaßen gilt dieser Standard mittlerweile als veraltet und nicht mehr sicher, die klare Empfehlung: nach Möglichkeit vermeiden.

Um Firefox die Verwendung von RC4 zu untersagen öffnen wir about:config in einem neuen Tab, suchen nach RC4 und setzen die folgenden Einstellungen mittels Doppelklick von true auf false:

security.ssl3.ecdh_ecdsa_rc4_128_sha
security.ssl3.ecdh_rsa_rc4_128_sha
security.ssl3.ecdhe_ecdsa_rc4_128_sha
security.ssl3.ecdhe_rsa_rc4_128_sha
security.ssl3.rsa_rc4_128_md5
security.ssl3.rsa_rc4_128_sha

Anschließend ist es notwendig den Browser neu zu starten und siehe da, beim erneuten ansurfen von Amazon findet der SSL-Algorithmus AES-128 Verwendung.

Update 09.11.13:

Bietet ein Webserver ausschließlich RC4 an wird es durch oben angeführte Config unmöglich dessen Pages anzusurfen. Um zu prüfen welche Algorithmen von einem Anbieter bereitgestellt werden, empfiehlt sich folgendes:

bash$ sslscan --no-failed duckduckgo.com | grep Accepted
    Accepted  SSLv3  256 bits  AES256-SHA
    Accepted  SSLv3  128 bits  ECDHE-RSA-AES128-SHA
    Accepted  SSLv3  128 bits  AES128-SHA
    Accepted  SSLv3  128 bits  CAMELLIA128-SHA
    Accepted  SSLv3  128 bits  ECDHE-RSA-RC4-SHA
    Accepted  SSLv3  128 bits  RC4-SHA
    Accepted  TLSv1  256 bits  AES256-SHA
    Accepted  TLSv1  128 bits  ECDHE-RSA-AES128-SHA
    Accepted  TLSv1  128 bits  AES128-SHA
    Accepted  TLSv1  128 bits  CAMELLIA128-SHA
    Accepted  TLSv1  128 bits  ECDHE-RSA-RC4-SHA
    Accepted  TLSv1  128 bits  RC4-SHA

Taucht hier nur RC4 auf … schlecht. Dann gibts da nur 2 Möglichkeiten: Entweder die Website meiden oder RC4 im Browser wieder aktivieren.

Leave a comment…



V Q X E X
  • E-Mail address will not be published.
  • Formatting:
    //italic//  __underlined__
    **bold**  ''preformatted''
  • Links:
    [[http://example.com]]
    [[http://example.com|Link Text]]
  • Quotation:
    > This is a quote. Don't forget the space in front of the text: "> "
  • Code:
    <code>This is unspecific source code</code>
    <code [lang]>This is specifc [lang] code</code>
    <code php><?php echo 'example'; ?></code>
    Available: html, css, javascript, bash, cpp, …
  • Lists:
    Indent your text by two spaces and use a * for
    each unordered list item or a - for ordered ones.


Except where otherwise noted, content on this blog is licensed under CreativeCommons BY SA 3.0