2015年2月にIETFが表明した「Prohibiting RC4 Cipher Suites」

3月16日(以下すべて現地時間)、MicrosoftはWindows 10の標準WebブラウザーであるMicrosoft Edge、およびInternet Explore 11のRC4のサポートを、2016年4月12日リリース予定の更新プログラムで無効にすると公式ブログで改めて強調した。本件は2015年9月に発表済みだが、具体的な方針や実施日を明言したのは初めて。既にMozilla Firefoxはバージョン44、Google Chromeはバージョン48でRC4を無効にした。

1987年に設計されたRC4は、Webブラウザーやオンラインサービスの間で広く使われてきたストリーム暗号だが、1994年9月の漏洩事件でアルゴリズムが広まり、その安全性は疑問が持たれている。2015年2月には、IETF(Internet Engineering Task Force)がTLSでのRC4の使用を禁じる方針を発表していた。

Microsoft Windows ExperienceシニアプログラムマネージャーのBrent Mills氏によれば、現在のMicrosoft EdgeおよびInternet Explorer 11はTLS 1.0/1.1/1.2上のRC4をフォールバックに限定。更新プログラムはWindows 10に限らず、Windows 7およびWindows 8.1も対象となる。同氏は今回の仕様変更に多くのユーザーは気付かないと述べつつも、自社のWebサービスがRC4に依存している場合はマイクロソフトセキュリティアドバイザリ2868725を参考に、TLS 1.2の有効化とRC4の無効化を推奨している。

阿久津良和(Cactus)