ChromiumのSSL / TLS暗号からRC4を削除する
最近、FirefoxセッションでRC4なしで生活し始めました。それについての議論は here にあります。 Firefoxでは非常に簡単ですが(Enter about:configそしてrc4)、私はこれをChromiumで実行する可能性を見つけませんでした。では、ChromiumまたはGoogle ChromeでRC4を無効化または削除することは可能ですか?
数時間後、Googleでそれを行う方法を理解しようとしましたChrome見つかりました!次のコマンドラインパラメータをショートカットに追加する必要があります。
--cipher-suite-blacklist=0x0005,0x0004
トリッキーな部分は、Googleが暗号文字列を翻訳していないため、RFC 2246に基づいて各暗号を16進数で入力する必要があることです。
0x0004 = TLS_RSA_WITH_RC4_128_MD5
0x0005 = TLS_RSA_WITH_RC4_128_SHA
TL; DR
すべてのRC4暗号をブロックするには、次のパラメーターを使用する必要があります(Chrome 31でNSS 3.15を使用するUbuntu 12.04の場合)
--cipher-suite-blacklist=0x0004,0x0005,0xc011,0xc007
GoogleではChrome Ubuntuの場合、/usr/share/applications/google-chrome.desktopファイルを編集し、Exec=/usr/bin/google-chrome-stableで始まる各行にパラメータを追加する必要があります。全体で3つあるはずです。
Exec=/usr/bin/google-chrome-stable --cipher-suite-blacklist=0x0004,0x0005,0xc011,0xc007
自分で理解するための一般的な回答
定期的に更新される すべての暗号のリスト[〜#〜] iana [〜#〜]は、決定に非常に役立ちますどの暗号をブロックする必要がありますが、ブラウザが実際にサポートしているよりも多くの暗号をブロックしてしまう可能性があります。ブラウザがサポートする暗号を最初に確認し、それらの16進値を取得する簡単な方法があります。
どちらも、ハノーバーのライプニッツ大学の次のWebサイトにアクセスして、ブラウザで直接提供されます。
例:下の図では、上の暗号識別子は表の左側にあります。したがって、2つの暗号RSA-AES-128-GCM-SHA256とRSA-AES256-SHAをブロックしたい場合は、(00,9c)と(00,35)を探します。
Googleの場合Chromeこれは、パラメータを追加する必要があることを意味します:
--cipher-suite-blacklist=0x009c,0x0035
Google Chromeバージョン28.0.1500.95
chrome.exe --cipher-suite-blacklist = 0xc007,0xc011,0x0066,0xc00c、0xc002,0x0005,0x0004
0xc007 = ECDHE-ECDSA-RC4128-SHA
0xc011 = ECDHE-RSA-RC4128-SHA
0x0066 = DHE_DSS_WITH_RC4_128_SHA
0xc00c = ECDH_RSA_WITH_RC4_128_SHA
0xc002 = RSA-RC4128-SHA
0x0005 = RSA-RC4128-SHA
0x0004 = RSA-RC4128-MD5
Source list of cipher names matching to spec:
[https://code.google.com/p/chromium/issues/detail?id=58833][1]
Website to check settings:
[https://cc.dcsec.uni-hannover.de/][2]
この問題追跡スレッド を理解していれば、SSL/TLSで一部の暗号スイートを無効にするためのサポートが少なくとも部分的に実装されていますが、対応するユーザーインターフェイスはありません。コマンドライン引数で実行できるようです(私は試していません)。また、Chrome=は、SSLに関してOSが提供する機能を再利用する傾向があるため、従来の方法では常にすべてを行いました)。