Nachdem bekannt wurde, dass die NSA mit RC4 verschlüsselte HTTPS-Verbindungen anscheinend in Echtzeit mitlesen kann ist die Zeit reif, dieses alte Verfahren nicht mehr zu verwenden.
Hier zeige ich, wie Ihr die angebotenen Verschlüsselungs-Verfahren eines Webservers prüfen könnt, und RC4 im Mozilla Firefox abschalten könnt. Die vorherige Prüfung ist natürlich kein Muss - aber ich habe die Sachen in einen Artikel zusammengefasst weil es hier um dasselbe Thema geht.
Angebotene Verschlüsselungen eines Webservers abfragen
Zur Prüfung brauchen wir das Programm "sslscan". Unter Linux ist das Programm normalerweise in den Paketquellen enthalten, für Windows gibt es auch eine Version. Hier zeige ich, wie es unter Linux funktioniert.
Wir fragen den Zielserver ab, und erhalten auch schon die Verschlüsselungsarten die er uns anbieten kann:
RC4 im Firefox deaktivieren
Der Browser sollte nun im besten Fall automatisch die beste Verschlüsselung wählen. Man kann RC4 aber auch generell abschalten. Das hat zur Folge das verschlüsselte Verbindungen zu Webservern die nur das RC4-Verfahren anbieten, blockiert wird.
So geht's:
- In der Adresszeile vom Firefox "about:config" eingeben
- Im Suchfeld "rc4" eingeben
- Alle Einträge auf "false" setzen:
