Microsoft, Google e Mozilla hanno rilasciato tre diversi aggiornamenti informativi concernenti il supporto a RC4, tecnologia crittografica da tempo nel mirino di cracker, cyber-criminali e intelligence statunitense (NSA) per la facilità con cui è oramai possibile compromettere le comunicazioni sicure trasmesse su canale HTTPS.
L’algoritmo RC4 è in circolazione dal lontano 1987, oggi è ancora utilizzabile nelle comunicazioni protette da certificati crittografici TLS ma offre un livello di protezione a dir poco insufficiente : sarebbe proprio RC4, per dirne una, il “grimaldello” sfruttato dalla National Security Agency americana per attaccare Tor e identificare gli utenti delle darknet.
Sia come sia, da qui a qualche mese RC4 diventerà storia: Microsoft ha intenzione di deprecare l’utilizzo dell’algoritmo su Internet Explorer ed Edge all’inizio del 2016, Google abbandonerà RC4 a partire dalla futura release stabile di Chrome in uscita tra gennaio e febbraio 2016 e Mozilla porrà rimedio alle debolezze intrinseche della tecnologia con Firefox 44, versione del browser open source in arrivo il 26 gennaio 2016.
Una volta eliminato il supporto di RC4 dai tre principali browser del mercato, il Web si sarà liberato di una delle tecnologie che ancora minacciano la sicurezza di utenti e aziende online; il numero di connessioni HTTPS che ancora fanno uso dell’algoritmo è a dir poco minimale, osservano i colossi della Rete, e per chi si trova ancora a gestire un server che necessita di RC4 non ci sarà alternativa all’upgrade.
Alfonso Maruccia