In meinem Artikel zur datenschutzfreundlichen Konfiguration des Browsers Firefox empfehle ich auf Anraten MacLemons hin das Deaktivieren von Ron’s Code 4 (RC4-Algorithmus), da er von der NSA angeblich in Echtzeit gebrochen werden kann. Was aber, wenn man auf eine Website gelangt, die für ihre HTTPS-Verbindung eben diesen Algorithmus benötigt?
Zuerst erscheint diese Fehlermeldung, die aussagekräftig genug ist: „Sichere Kommunikation mit der Gegenstelle ist nicht möglich: Keine gemeinsamen Verschlüsselungsalgorithmen.“
Ein Klick auf das Schloss-Symbol in der Adresszeile öffnet ein Modalfenster mit zusätzlichen Informationen zum verwendeten Zertifikat. Leider ist diese Information für uns zu wenig, wir brauchen „Weitere Informationen…“
Im daraufhin aufspringenden Fenster sehen wir unter „Technische Details“ die verwendete Ciphersuite. In diesem Fall ist es SSL_RSA_WITH_RC4_128_SHA
.
Und diese müssen wir – leider – wieder aktivieren, um die dementsprechende Seite ansehen zu können…
Danach sollte die Ciphersuite wieder deaktiviert werden… Vielleicht wäre es auch nicht schlecht, dem Betreiber der Website (in dem Fall ein Webhosting-Anbieter) einen Tweet oder ein E-Mail zu schicken und ihn auf dieses Manko hinzuweisen.