pslaboが試したことの記録

はてなダイヤリーからはてなブログに引っ越してきました

この日記は現在実行中の減量記録を含む個人的なメモとして始めましたが、最近はコンピュータやガジェット、ハック、セキュリティネタのほうがメインになっております。

はてなダイヤリー時代はカテゴリ分けが適当だったのですが、これはそのうち直します。


ブラウザ別のRC4設定無効化手順をまとめてみた。

※この記事は内容が古く最新の状況にマッチしていません。いまどきのブラウザは基本的にRC4無効が基本なので、わざわざ無効化しなければならない状況ではないことを前提にお読みください。

RC4 の解読に掛かる時間が1日程度まで短縮されてきました。RC4 はだめぽ。なので、多くのブラウザでは RC4 の対応を2016年1月~2月頃に打ち切ることになるようです。

www.itmedia.co.jp



それを待たずに手元のブラウザで RC4 を無効化したい場合の手順をまとめてみました。


なお、設定を変更したら次のURLにアクセスし、"WEAK" の表示が出なくなれば安全に利用可能と判断してよいだろうと思います。(厳密に言えば、設定変更前と後で状態が変わっていることを比較すべきですが)
https://www.ssllabs.com/ssltest/viewMyClient.html

Internet Explorer

マイクロソフトからリリースされている更新プログラムをインストールし、さらにレジストリ設定を行うことで RC4 が無効化できます。Win8.1は標準で RC4 は無効化済み?。

RC4を無効化するための更新プログラム。
https://support.microsoft.com/ja-jp/kb/2868725

・本件に関する解説
https://technet.microsoft.com/library/security/2868725

Firefox

Firefox は 44 以降でRC4は廃止されたそうです。
http://www.itmedia.co.jp/enterprise/articles/1601/27/news063.html

これより古いバージョンの場合は about:config にて暗号化アルゴリズムの有効無効を調整します。"rc4" で絞込検索して false にすれば無効化されます。
http://blog.manabusakai.com/2013/09/firefox-ssl-cipher-suite/

Chrome

2016/01/20にリリースされたバージョン48からはRC4が標準で無効です。これより古いバージョンの場合は、実行時のコマンドラインオプションを以下のようにすればRC4を無効化できるそうです。。
--cipher-suite-blacklist=0x0004,0x0005,0xc011,0xc007

http://www.agilegroup.co.jp/technote/logjam-chrome-settings.html

Windows の場合はスタートメニュー等のショートカットを書き換えればよい。

OS X (MacOS) の場合は Automator を利用するという方法があるっぽい。以下のURLは POODLE 対策のために SSLv3 を無効化する手順ですが、これと概ね同じ手順で RC4 も無効化できます。
https://zmap.io/sslv3/browsers.html#chrome-osx

Safari

... RC4 を無効化する手順を調べきれておりません ...