HowTo: Disable weak RC4 cipher in Firefox, Chromium, Google-Chrome & Internet Explorer

In Firefox kann man das visuell in der Konfiguration machen. Dafuer in der Adresszeile about:config eingeben, bestaetigen, nach rc4 suchen und alle Werte deaktivieren:

Bildschirmfoto vom 2013-11-13 06:34:46

In Chromium und Google-Chrome ist das schon umstaendlicher. Da muessen die zu deaktivierenden Ciphers als Blacklist-Parameter beim Starten uebergeben werden:

chromium-browser --cipher-suite-blacklist=0x0001,0x0002,0x0004,0x0005,0x0017,0x0018,0xc002,0xc007,0xc00c,0xc011,0xc016,0xff80,0xff81,0xff82,0xff83

Die Verfuegbaren Hexcodes gibt es leider nur im Quelltext.

Um RC4 Verbindungen aus Windows heraus, und dadurch auch beim Internet Explorer zu unterbinden muessen die folgenden Registry Werte gesetzt sein:

[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecurityProvidersSCHANNELCiphersRC4 128/128]
    "Enabled"=dword:00000000
 [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecurityProvidersSCHANNELCiphersRC4 40/128]
    "Enabled"=dword:00000000
 [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecurityProvidersSCHANNELCiphersRC4 56/128]
    "Enabled"=dword:00000000

Weitere Informationen dazu unter “Security Advisory 2868725: Recommendation to disable RC4

Die vom Browser unterstuetzten Cipher Suites werden einem angezeigt, wenn man die folgende Webseite aufruft:

5 Comments

  1. Also bisher hatte ich nur Probleme als ich bei addons.mozilla.org gesucht hatte, war aber dann nicht mehr reproduzierbar. Ergo: keine Probleme festgestellt bisher.

  2. Für Chrome scheint es leider keine Lösung zu geben welche auch für nicht “Power-User” praktikabel ist… Unter OSX kann man dem zu startenden package z.B. keine Parameter mit übergeben, sondern nur umständliche workarounds benutzen :/

  3. In Chromium, Firefox und Thunderbird hab ich das ausprobiert.
    Auf Youtube kann ich dann leider keine Videos mehr benutzen.
    Thunderbird braucht RC4 um Mails abzurufen.

Leave a Comment.