RC4 unwirksam – Was nun?

RC4 wird von der NSA und anderen Spionageorganisationen, nach mehreren Medienberichten, in Echtzeit gebrochen. Leider setzen noch extrem viele Seiten RC4 ein. Banken, Twitter, etc.
Damit man nicht warten muss, bis die Admins der Seiten hinterherkommen, haben wir mal zusammen getragen, wie man seinen Schutz vor Überwachung und Abhörung erhöhen kann.

Wir werden diesen Post aktuell halten. Wer etwas beisteuern möchte, Mail an mail@fnordeingang.de oder als Kommentar.

Wer vorab wissen möchte, welche Methoden sein Browser unterstützt, kann das hier https://cc.dcsec.uni-hannover.de/ nachschauen.

Alle angaben ohne Gewähr, also beschwert euch nicht bei uns wenn jemand eure SSL Verbindung aufmacht :)

Browser

Chromium bzw. Chrome
Chrome/Chromium mit folgenden Optionen starten:

--cipher-suite-blacklist=0x0004,0x0005,0xc011,0xc007

Es gibt wohl einige Varianten (z.B. Win32) von Chrome in denen das nicht funktioniert.
Update: 0xc007 wurde in die Blacklist aufgenommen.

Firefox
In Firefox about:config aufrufen. Nach RC4 suchen und alle auf false setzen.
Update: Das funktioniert im Android Firefox genau so.

Server

nginx
Betreut man einen nginx Server, so lassen sich die weniger sicheren Methoden wie folgt ausschalten:

ssl                 on;

ssl_certificate     ssl_chain.crt;
ssl_certificate_key ssl.key;

ssl_protocols SSLv3 TLSv1 TLSv1.1 TLSv1.2;
ssl_prefer_server_ciphers on;
ssl_session_timeout 5m;
ssl_session_cache builtin:1000 shared:SSL:10m;

ssl_ciphers DH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:ECDH+3DES:DH+3DES:RSA+AES:RSA+3DES:!ADH:!AECDH:!MD5:!DSS;

Apache
Falls man einen Apache Server betreut, sollte folgende Config weiterhelfen

SSLProtocol ALL -SSLv2
SSLCompression off
SSLHonorCipherOrder On
SSLCipherSuite ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:ECDH+3DES:DH+3DES:RSA+AES:RSA+3DES:!ADH:!AECDH:!MD5:!DSS

Windows/IIS
Für den IIS gibt es folgende Anleitung (danke Phenie): http://www.tokk.de/2013/11/13/iis6-und-rc4/

Wer mehr wissen möchte, dem sei dieser Artikel ans Herz gelegt,

Immer dran denken, schön den Aluhut tragen!

Nächste Termine

Tuesday December 24

19:00 – 23:55: Plenum

Wednesday December 25

18:00 – 23:55: Offener Abend
Offener Abend/Chaostreff, Gäste willkommen

Tuesday December 31

19:00 – 23:55: Plenum

Wednesday January 1

18:00 – 23:55: Offener Abend
Offener Abend/Chaostreff, Gäste willkommen

zum Kalender

6 Comments on “RC4 unwirksam – Was nun?”

Pirat says:

November 9, 2013 at 02:06

Mit SeaMonkey Browser; http://www.seamonkey.at/start
Wie sieht es aus mit diesem SeaMonkey Webbrowser???
- vileda says:
  
  November 10, 2013 at 01:18
  
  ohne das jetzt überprüft zu haben, glaube ich das es im firefox genau so funktioniert.
matedealer says:

November 9, 2013 at 03:15

Sollte man bei chromium noch 0xc007 ausschalten? Es verwendet
Key exchange: ECDH, encryption: RC4, MAC: SHA1.
- vileda says:
  
  November 13, 2013 at 13:55
  
  Danke für den Hinweis, hab ich in den Post aufgenommen.
Phenie says:

November 19, 2013 at 19:26

Hier gibt es eine Anleitung für Windows: http://www.tokk.de/2013/11/13/iis6-und-rc4/
- vileda says:
  
  November 19, 2013 at 19:46
  
  Danke, ist in den Artikel aufgenommen.