¿Desactivar algoritmo RC4 en Firefox 2010 up (TLS v1.1)?

El algoritmo RC4 es un algoritmo de cifrado de flujo que, si bien todavía no se considera totalmente roto, sí está marcado como deprecated,  es decir, no apto para nuevos usos. Aún así, es usado muy  frecuentemente en las conexiones HTTPS dado que es un algoritmo muy  rápido. La forma de cambiar el tipo de cifrado que estamos usando en  nuestro navegador es sorprendentemente simple en muchos navegadores por  lo que los pasos que voy a explicar, si bien son específicos para  Mozilla Firefox, serían equivalentes en otros navegadores. La excepción  es Internet Explorer, que dificulta cada uno de los pasos (comprobación y  cambio de configuración).

Un problema relacionado es que RC4 no es vulnerable a un ataque BEAST, y ese uno de los motivos por los que se usa y recomienda cuando se está usando TLSv1. Sin embargo, Firefox implementa desde 2010 TLS v1.1 (RFC 4346), con lo cual se podría desactivar sin inconvenientes.

A continuación vamos a cambiar la configuración para desactivar el  uso de RC4. Para ello debemos ir a la configuración avanzada del  navegador, empleando como ruta la URL about:config. Nos saldrá  una página con una lista de preferencias y sus valores. En la barra de  búsqueda de esta página, justo por encima de la lista, escribimos rc4.  Con ello estamos filtrando las opciones, quedándonos sólo con las que  tienen “rc4” en el nombre. A continuación haremos doble clic en cada una  de las opciones que nos salgan y tengan un valor true, de modo que pasen a tener valor false como indica la captura.

about

Ya está, hemos acabado. Cerramos el navegador, lo volvemos a abrir,  iniciamos alguna conexión HTTPS y, si repetimos la comprobación del  principio, podremos ver cómo el algoritmo de cifrado ha cambiado a otro  considerado más seguro, como AES o Camellia, como en las capturas.

RC4 deprecated

Fuente: Segu-Info  (Cristian F. Borghello)   ->    Kriptopolis

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s