RC4 unwirksam – Was nun?

RC4 wird von der NSA und anderen Spionageorganisationen, nach mehreren Medienberichten, in Echtzeit gebrochen. Leider setzen noch extrem viele Seiten RC4 ein. Banken, Twitter, etc.
Damit man nicht warten muss, bis die Admins der Seiten hinterherkommen, haben wir mal zusammen getragen, wie man seinen Schutz vor Überwachung und Abhörung erhöhen kann.

Wir werden diesen Post aktuell halten. Wer etwas beisteuern möchte, Mail an mail@fnordeingang.de oder als Kommentar.

Wer vorab wissen möchte, welche Methoden sein Browser unterstützt, kann das hier https://cc.dcsec.uni-hannover.de/ nachschauen.

Alle angaben ohne Gewähr, also beschwert euch nicht bei uns wenn jemand eure SSL Verbindung aufmacht :)

Browser

Chromium bzw. Chrome
Chrome/Chromium mit folgenden Optionen starten:

--cipher-suite-blacklist=0x0004,0x0005,0xc011,0xc007

Es gibt wohl einige Varianten (z.B. Win32) von Chrome in denen das nicht funktioniert.
Update: 0xc007 wurde in die Blacklist aufgenommen.

Firefox
In Firefox about:config aufrufen. Nach RC4 suchen und alle auf false setzen.
Update: Das funktioniert im Android Firefox genau so.

Server

nginx
Betreut man einen nginx Server, so lassen sich die weniger sicheren Methoden wie folgt ausschalten:

ssl                 on;

ssl_certificate     ssl_chain.crt;
ssl_certificate_key ssl.key;

ssl_protocols SSLv3 TLSv1 TLSv1.1 TLSv1.2;
ssl_prefer_server_ciphers on;
ssl_session_timeout 5m;
ssl_session_cache builtin:1000 shared:SSL:10m;

ssl_ciphers DH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:ECDH+3DES:DH+3DES:RSA+AES:RSA+3DES:!ADH:!AECDH:!MD5:!DSS;

Apache
Falls man einen Apache Server betreut, sollte folgende Config weiterhelfen

SSLProtocol ALL -SSLv2
SSLCompression off
SSLHonorCipherOrder On
SSLCipherSuite ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:ECDH+3DES:DH+3DES:RSA+AES:RSA+3DES:!ADH:!AECDH:!MD5:!DSS

Windows/IIS
Für den IIS gibt es folgende Anleitung (danke Phenie): http://www.tokk.de/2013/11/13/iis6-und-rc4/

Wer mehr wissen möchte, dem sei dieser Artikel ans Herz gelegt,

Immer dran denken, schön den Aluhut tragen!

Posted in Allgemein Tagged with: , , , , , ,
6 comments on “RC4 unwirksam – Was nun?
  1. Pirat says:

    Mit SeaMonkey Browser; http://www.seamonkey.at/start
    Wie sieht es aus mit diesem SeaMonkey Webbrowser???

  2. matedealer says:

    Sollte man bei chromium noch 0xc007 ausschalten? Es verwendet
    Key exchange: ECDH, encryption: RC4, MAC: SHA1.

  3. Phenie says:

    Hier gibt es eine Anleitung für Windows: http://www.tokk.de/2013/11/13/iis6-und-rc4/