it-swarm.dev

Rimuovi RC4 dalle cifre SSL / TLS in Chromium

Di recente ho iniziato a vivere senza RC4 nella mia sessione di Firefox. La discussione al riguardo può essere trovata qui . Mentre è abbastanza facile in Firefox (Enter about:config e poi rc4 ), non ho trovato alcuna possibilità di farlo in Chromium. Quindi è possibile disabilitare o rimuovere RC4 in Chromium o anche Google Chrome?

18
qbi

Dopo diverse ore cercando di capire come farlo in Google Chrome l'ho trovato! È necessario aggiungere i seguenti parametri della riga di comando nel collegamento:

--cipher-suite-blacklist=0x0005,0x0004

La parte difficile è che Google non ha tradotto le stringhe di crittografia, quindi è necessario inserire ogni cifra in esadecimale in base a RFC 2246:

0x0004 = TLS_RSA_WITH_RC4_128_MD5

0x0005 = TLS_RSA_WITH_RC4_128_SHA
17
Rafael Koike

TL; DR

È necessario utilizzare il seguente parametro per bloccare tutte le cifre RC4 (a partire da Chrome 31 in Ubuntu 12.04 con NSS 3.15)

--cipher-suite-blacklist=0x0004,0x0005,0xc011,0xc007

In Google Chrome su Ubuntu devi modificare il file /usr/share/applications/google-chrome.desktop e aggiungi il parametro a ciascuna riga che inizia con Exec=/usr/bin/google-chrome-stable. Dovrebbero essercene tre in totale.

Exec=/usr/bin/google-chrome-stable --cipher-suite-blacklist=0x0004,0x0005,0xc011,0xc007

Risposta generale per capirlo da soli

L'elenco aggiornato regolarmente di tutte le cifre per [~ # ~] iana [~ # ~] è già molto utile nel determinare quali cifre bloccare, ma potresti finire col bloccare più cifre di quelle effettivamente supportate dal tuo browser. Esiste un modo più semplice per verificare innanzitutto quali cifre sono supportate dal browser e ottenere i loro valori esadecimali.

Entrambi sono forniti direttamente nel tuo browser visitando il seguente sito web dell'Università Leibniz di Hannover:

Ad esempio: nell'immagine seguente, gli identificatori di cifratura su si trovano sul lato sinistro della tabella. Quindi, se volessi bloccare le due cifre RSA-AES-128-GCM-SHA256 e RSA-AES256-SHA Vorrei cercare (00,9c) e (00,35).

Per Google Chrome questo significa che devo aggiungere il parametro:

--cipher-suite-blacklist=0x009c,0x0035 

enter image description here

8
king_julien

Google Chrome versione 28.0.1500.95

chrome.exe --cipher-suite-blacklist = 0xc007,0xc011,0x0066,0xc00c, 0xc002,0x0005,0x0004

0xc007 = ECDHE-ECDSA-RC4128-SHA
0xc011 = ECDHE-RSA-RC4128-SHA
0x0066 = DHE_DSS_WITH_RC4_128_SHA
0xc00c = ECDH_RSA_WITH_RC4_128_SHA
0xc002 = RSA-RC4128-SHA
0x0005 = RSA-RC4128-SHA
0x0004 = RSA-RC4128-MD5

Source list of cipher names matching to spec:
[https://code.google.com/p/chromium/issues/detail?id=58833][1]

Website to check settings:
[https://cc.dcsec.uni-hannover.de/][2]
7
nobird

Se ho capito questo thread di tracciamento del problema , il supporto per disabilitare alcune suite di crittografia in SSL/TLS è stato almeno parzialmente implementato, ma non esiste un'interfaccia utente corrispondente. Sembra fattibile attraverso argomenti da riga di comando (non ho provato). Inoltre, il metodo esatto può cambiare a seconda del sistema operativo, poiché Chrome tende a riutilizzare le funzionalità offerte dal sistema operativo in relazione a SSL (contrariamente a Firefox, che, per tradizione, ha sempre fatto tutto da solo).

3
Thomas Pornin