RC4 es un algoritmo de cifrado diseñado en 1987 y que desde entonces ha sido ampliamente utilizado para proteger todo tipo de información. Con el paso de los años se han descubierto varias debilidades en este algoritmo que, poco a poco, han ido abriendo grietas de seguridad que han comprometido por completo el algoritmo, sin embargo algunos servidores aún siguen utilizándolo para «proteger» las conexiones de los usuarios, con los peligros que ello supone.
Hace ya algunos meses los navegadores web se actualizaron para que las conexiones RC4 se utilizaran sólo cuando fuera estrictamente necesario, sin embargo ahora los desarrolladores quieren ir más allá. Según se ha podido confirmar, en los próximos meses y de cara al año que viene los principales navegadores web van a dejar de utilizar los algoritmos RC4 para obligar a los desarrolladores a implementar en sus servidores conexiones seguras que protejan a los usuarios lo mejor posible.
Por un lado Microsoft ha confirmado que eliminará el soporte para este algoritmo para sus navegadores Internet Explorer y Edge a todos los usuarios de Windows 7, 8.1 y 10 a principios de 2016, aunque por el momento no ha dado fecha concreta de esto. La compañía segura que el porcentaje de webs que aún obligan a establecer conexiones a través de RC4 es pequeño y cada vez menor.
Google, por otro lado, no ha confirmado tampoco la fecha exacta cuando eliminará el soporte para este algoritmo, aunque se calcula que será en torno a enero o febrero de 2016. También asegura que según los datos métricos de su navegador sólo el 0.13% de las conexiones seguras realizadas desde Google Chrome utilizan este protocolo inseguro.
Para finalizar, Mozilla planea desactivar las conexiones RC4 con su próxima versión 44 del navegador, que está planeada para el 26 de enero de 2016. Esta empresa es la única que ha mostrado la fecha concreta cuando desactivará las conexiones con este algoritmo y asegura que sólo el 0.08% de las conexiones HTTPS realizadas desde su navegador se realizan a través de este algoritmo.
Este cambio será automático e inapreciable para los usuarios. Los desarrolladores y administradores de sistemas que aún utilicen RC4 como algoritmo para establecer las conexiones HTTPS a sus servidores deben actualizar a un algoritmo más moderno y seguro si quieren poder seguir disponibles en la red ya que a partir de 2016 todas las webs con este algoritmo serán inaccesibles desde cualquier navegador moderno.
¿Conoces alguna web que utilice un algoritmo RC4 para proteger la conexión?
Quizá te interese:
- Cómo bloquear el cifrado inseguro RC4 en Google Chrome y Firefox
- Si usas RC4 en tu web con HTTPS o usas WPA con TKIP, la seguridad de tus clientes está en riesgo
- La IETF regulariza que el cifrado RC4 no se utilice en las negociaciones TLS