9月2日,谷歌、微软和Mozilla作出了同样的声明,Chrome、Edge、Internet Explorer、以及Firefox浏览器,都将在明年停止对老旧的RC4加密技术的支持。RC4诞生于1987年,作为一款流式密码,其已被广泛用于各大浏览器和在线服务的加密。但是过了这么多年,其已经被发现了多个漏洞,并且可在数天甚至数小时内被攻破。
2月份的时候,大家发现了针对TLS和RC4的新式攻击。随后,浏览器厂商作出了调整,以确保只在确实有必要的情况下才启用RC4。而现在,它们又更进了一步。
Google方面计划在未来版本的Chrome浏览器中禁用对RC4的支持,尽管该公司并没有提供具体的日期,但我们预计稳定版通道会在2016年1月或2月份的时候彻底告别RC4。
Google还指出,仅有0.13%的HTTPS连接会选择使用RC4。
微软方面,其计划从2016年初开始默认禁用Windows 7、Windows 8.1、Windows 10平台上所有Microsoft Edge和Internet Explorer浏览器对RC4的支持。
在收到TLS回退协商(fallback negotiations)的时候,RC4将不再启用。该公司称,仅启用RC4这种不安全的web服务的比例很小且在减少。
Mozilla方面,RC4将在Firefox 44上被彻底弃用。与微软和Google的含糊措辞不同,Mozilla明确表示了该版本将于2016年1月26日上线。
Mozilla指出,仅有0.08%的Firefox浏览器用户(正式版通道)仍在使用RC4。
总而言之,到2016年初的时候,那些仅支持RC4的HTTPS服务器将不再被各大主流浏览器所支持。如果你仍在使用RC4,还请及时升级与切换。
