Elimine RC4 de los cifrados SSL / TLS en Chromium

Navega tus respuestas
18

Recientemente comencé a vivir sin RC4 en mi sesión de Firefox. La discusión al respecto se puede encontrar aquí . Si bien es bastante fácil en Firefox (ingrese about:config y luego rc4 ), no encontré la posibilidad de hacer esto en Chromium. Entonces, ¿es posible desactivar o eliminar RC4 en Chromium o también en Google Chrome?

    
pregunta qbi 06.07.2013 - 00:12
fuente

4 respuestas

17

¡Después de varias horas intentando descubrir cómo hacerlo en Google Chrome, lo encontré! Debe agregar los siguientes parámetros de la línea de comandos en el acceso directo: 

--cipher-suite-blacklist=0x0005,0x0004

La parte difícil es que Google no ha traducido cadenas de cifrado, por lo que debe ingresar cada cifrado en hexadecimal basado en RFC 2246: 

0x0004 = TLS_RSA_WITH_RC4_128_MD5

0x0005 = TLS_RSA_WITH_RC4_128_SHA
    
respondido por el Rafael Koike 11.07.2013 - 01:16
fuente
8

TL; DR

Debe usar el siguiente parámetro para bloquear todos los cifrados RC4 (a partir de Chrome 31 en Ubuntu 12.04 con NSS 3.15) 

--cipher-suite-blacklist=0x0004,0x0005,0xc011,0xc007

En Google Chrome en Ubuntu, debe editar el archivo /usr/share/applications/google-chrome.desktop y agregar el parámetro a cada línea que comience con Exec=/usr/bin/google-chrome-stable . Debería haber tres en general. 

Exec=/usr/bin/google-chrome-stable --cipher-suite-blacklist=0x0004,0x0005,0xc011,0xc007

Respuesta general para resolverlo usted mismo

La lista actualizada de todos los cifrados por < strong> IANA ya es muy útil para determinar qué cifrados bloquear, pero podría terminar bloqueando más cifrados de los que realmente admite su navegador. Hay una manera más fácil de verificar primero qué cifrados admite su navegador y obtener sus valores hexadecimales.

Ambos se proporcionan directamente en su navegador al visitar el siguiente sitio web de la Universidad Leibniz de Hannover:

Por ejemplo: en la siguiente imagen, los indentificadores de cifrado están en el lado izquierdo de la tabla. Por lo tanto, si quisiera bloquear los dos cifrados RSA-AES-128-GCM-SHA256 y RSA-AES256-SHA buscaría (00,9c) y (00,35) .

Para Google Chrome, esto significa que tengo que agregar el parámetro: 

--cipher-suite-blacklist=0x009c,0x0035

    
respondido por el king_julien 28.11.2013 - 09:46
fuente
7

Google Chrome versión 28.0.1500.95

chrome.exe --cipher-suite-blacklist = 0xc007,0xc011,0x0066,0xc00c, 0xc002,0x0005,0x0004 

0xc007 = ECDHE-ECDSA-RC4128-SHA
0xc011 = ECDHE-RSA-RC4128-SHA
0x0066 = DHE_DSS_WITH_RC4_128_SHA
0xc00c = ECDH_RSA_WITH_RC4_128_SHA
0xc002 = RSA-RC4128-SHA
0x0005 = RSA-RC4128-SHA
0x0004 = RSA-RC4128-MD5

Source list of cipher names matching to spec:
[https://code.google.com/p/chromium/issues/detail?id=58833][1]

Website to check settings:
[https://cc.dcsec.uni-hannover.de/][2]
    
respondido por el nobird 30.09.2013 - 17:13
fuente
3

Si entiendo este subproceso de seguimiento de problemas , soporte para deshabilitar algunos conjuntos de cifrado en SSL / TLS se ha implementado al menos parcialmente, pero no hay una interfaz de usuario correspondiente. Parece ser factible a través de argumentos de línea de comandos (no lo he intentado). Además, el método exacto puede cambiar dependiendo del sistema operativo, ya que Chrome tiende a reutilizar las funcionalidades ofrecidas por el sistema operativo con respecto a SSL (al contrario de Firefox, que, por tradición, siempre ha hecho todo por sí mismo).

    
respondido por el Thomas Pornin 06.07.2013 - 00:31
fuente

Lea otras preguntas en las etiquetas

Chrome 50: ¿Dónde puedo ver el paquete de cifrado negociado? cadena de ataque PHP en los registros de acceso