Cómo bloquear el cifrado inseguro RC4 en Google Chrome y Firefox

Escrito por Rubén Velasco
Seguridad

RC4 es, igual que otros, un tipo de cifrado que se aplica a nuestra conexión al acceder a determinadas páginas web. Este tipo de cifrado generalmente sólo se utiliza cuando la conexión mediante otros algoritmos falla. Recientemente han aparecido en la red una serie de exploit que aprovechan varias debilidades en este cifrado y que puede permitir a piratas informáticos o a usuarios malintencionados forzar y comprometer el tráfico a través de este algoritmo desde los principales navegadores web.

Aunque en un principio las nuevas versiones de Firefox iban a bloquear las conexiones RC4 por temas de compatibilidad finalmente las mantuvieron. Igualmente ocurre con Google Chrome que, incluso en las versiones más recientes, también es vulnerable a las conexiones RC4.

En este artículo os vamos a enseñar cómo bloquear todas las conexiones RC4 en los navegadores Firefox y Google Chrome de manera que cuando intentemos conectarnos a una web que utilice este cifrado vulnerable automáticamente esta se bloquee protegiendo nuestra conexión.

Bloquear el cifrado RC4 en Google Chrome

Si utilizamos el navegador Google Chrome o cualquier otro basado en él podemos bloquear estas conexiones por defecto añadiendo un parámetro en el acceso directo de nuestro escritorio.

Para ello buscamos el icono del navegador y abrimos el menú de propiedades del mismo con el botón derecho.

En las opciones del acceso directo podremos ver una entrada llamada “Destino”. Al final de la misma, tras las comillas, debemos añadir lo siguiente:

  • –cipher-suite-blacklist=0x0004,0x0005,0xc011,0xc007

Bloquear RC4 Google Chrome foto 1

Abrimos el navegador desde este acceso directo (o lo reiniciamos si ya estaba abierto) y nuestra conexión estará protegida bloqueando por defecto las conexiones RC4 inseguras.

 

Bloquear el cifrado RC4 en Firefox

Si somos usuarios de Firefox este proceso es algo más sencillo. Lo único que debemos hacer es entrar en el menú de configuración tecleando about:config en la barra de direcciones y escribir en la barra de búsqueda RC4.

Nos aparecerá una página similar a la siguiente.

Bloquear RC4 Firefox foto 2

Lo único que nos queda por hace res hacer doble click sobre las siguientes entradas para que su valor cambie a “false”:

  • security.ssl3.ecdhe_ecdsa_rc4_128_sha
  • security.ssl3.ecdhe_rsa_rc4_128_sha
  • security.ssl3.rsa_rc4_128_md5
  • security.ssl3.rsa_rc4_128_sha

Una vez que tenemos los valores anteriores en “false” reiniciamos el navegador y ya podremos navegar seguros con la certeza de que no se establecerá ninguna conexión RC4.

Comprobar si nuestro navegador es vulnerable a las conexiones RC4

Podemos comprobar fácilmente si nuestro navegador está protegido o es vulnerable desde el siguiente enlace. Esta página intenta establecer una serie de conexiones RC4 diferentes que, de tener éxito, nos mostrará un mensaje indicando que nuestro navegador es vulnerable.

Si las conexiones no se realizan podremos ver cómo nuestro navegador está correctamente configurado para bloquear por defecto las conexiones inseguras RC4.

Comprobar RC4 foto 3

¿Has configurado ya tu navegador para bloquear las conexiones RC4 por defecto?

Quizá te interese:

Fuente > ghacks


Continúa leyendo
  • Jacobo

    En la parte de “Bloquear el cifrado RC4 en Firefox”, en el pantallazo (y en el navegador) aparecen CINCO entradas, mientras que solo muestran a continuación CUATRO.
    ¿Qué hay que hacer sobre la entrada “security.tls.unrestricted_rc4_fallback”?

    • Rubén Velasco

      Esa se deja en su valor por defecto (true) 😉

  • francisco barahona

    gracias por el concejo esta ecxelente para firefox pero no pude con crome probe de varias formas y nada me perdi desde que lei al fina tras las comillas.se puede saber como?

    • Rubén Velasco

      Buenas.

      Simplemente tienes que añadir la línea que indicamos justo al final de lo que te venga en el apartado Destino.

      En nuestro caso, por ejemplo, queda como:

      “C:\Program Files (x86)\Google\Chrome\Application\chrome.exe” –cipher-suite-blacklist=0x0004,0x0005,0xc011,0xc007

      Saludos.

Últimos análisis

Valoración RZ
9
Valoración RZ
9
Valoración RZ
10
Valoración RZ
9
Valoración RZ
10
Valoración RZ
7
Valoración RZ
9
Valoración RZ
10
Valoración RZ
8
Valoración RZ
10