web-dev-qa-db-fra.com

Supprimer RC4 des chiffrements SSL / TLS dans Chromium

Récemment, j'ai commencé à vivre sans RC4 dans ma session Firefox. Une discussion à ce sujet peut être trouvée ici . Bien que ce soit assez simple dans Firefox (entrez about:config puis rc4 ), je n'ai trouvé aucune possibilité de le faire dans Chromium. Est-il donc possible de désactiver ou supprimer RC4 dans Chromium ou également Google Chrome?

tlsweb-browserchromerc4
18
qbi

Après plusieurs heures à essayer de comprendre comment le faire dans Google Chrome Je l'ai trouvé! Vous devez ajouter les paramètres de ligne de commande suivants dans le raccourci:

--cipher-suite-blacklist=0x0005,0x0004

La partie délicate est que Google n'a pas traduit les chaînes de chiffrement, vous devez donc saisir chaque chiffre en hexadécimal basé sur la RFC 2246:

0x0004 = TLS_RSA_WITH_RC4_128_MD5

0x0005 = TLS_RSA_WITH_RC4_128_SHA
17
Rafael Koike

TL; DR

Vous devez utiliser le paramètre suivant pour bloquer tous les chiffres RC4 (à partir de Chrome 31 dans Ubuntu 12.04 avec NSS 3.15)

--cipher-suite-blacklist=0x0004,0x0005,0xc011,0xc007

Dans Google Chrome sur Ubuntu, vous devez modifier le fichier /usr/share/applications/google-chrome.desktop et ajoutez le paramètre à chaque ligne commençant par Exec=/usr/bin/google-chrome-stable. Il devrait y en avoir trois dans l'ensemble.

Exec=/usr/bin/google-chrome-stable --cipher-suite-blacklist=0x0004,0x0005,0xc011,0xc007

Réponse générale pour comprendre vous-même

La mise à jour régulière liste de tous les chiffres par [~ # ~] iana [~ # ~] est déjà très utile pour déterminer quels chiffres à bloquer, mais vous pourriez finir par bloquer plus de chiffres que votre navigateur ne prend en charge. Il existe un moyen plus simple de vérifier d'abord les chiffres pris en charge par votre navigateur et d'obtenir leurs valeurs hexadécimales.

Les deux sont fournis directement dans votre navigateur en visitant le site Web suivant de l'Université Leibniz de Hanovre:

Par exemple: dans l'image ci-dessous, les identificateurs de chiffrement sont sur le côté gauche du tableau. Donc, si je voulais bloquer les deux chiffres RSA-AES-128-GCM-SHA256 et RSA-AES256-SHA Je chercherais (00,9c) et (00,35).

Pour Google Chrome cela signifie que je dois ajouter le paramètre:

--cipher-suite-blacklist=0x009c,0x0035

enter image description here

8
king_julien

Google Chrome Version 28.0.1500.95

chrome.exe --cipher-suite-blacklist = 0xc007,0xc011,0x0066,0xc00c, 0xc002,0x0005,0x0004

0xc007 = ECDHE-ECDSA-RC4128-SHA
0xc011 = ECDHE-RSA-RC4128-SHA
0x0066 = DHE_DSS_WITH_RC4_128_SHA
0xc00c = ECDH_RSA_WITH_RC4_128_SHA
0xc002 = RSA-RC4128-SHA
0x0005 = RSA-RC4128-SHA
0x0004 = RSA-RC4128-MD5

Source list of cipher names matching to spec:
[https://code.google.com/p/chromium/issues/detail?id=58833][1]

Website to check settings:
[https://cc.dcsec.uni-hannover.de/][2]
7
nobird

Si je comprends bien ce fil de suivi des problèmes , la prise en charge de la désactivation de certaines suites de chiffrement dans SSL/TLS a été au moins partiellement implémentée, mais il n'y a pas d'interface utilisateur correspondante. Cela semble possible via des arguments de ligne de commande (je n'ai pas essayé). De plus, la méthode exacte peut changer en fonction du système d'exploitation, car Chrome a tendance à réutiliser les fonctionnalités offertes par l'OS en ce qui concerne SSL (contrairement à Firefox, qui, par tradition, a toujours fait tout lui-même).

3
Thomas Pornin