今天，我们完全禁用了到CloudFlare站点的所有SSL/TLS连接的RC4加密算法。使用RC4无法再连接到任何使用CloudFlare的站点。一年前，我们禁用了tls1.1及更高版本的RC4连接，因为有更安全的算法可用。2014年5月，我们否决了RC4，将其移到密码套件列表中的最低优先级。这迫使任何一个可以替代RC4的浏览器使用它。这两个变化意味着几乎所有使用RC4连接到CloudFlare站点的用户都切换到了一个更安全的协议。早在5月份，我们注意到有些人仍然需要RC4，特别是使用旧手机的人和一些windowsxp用户。当时，使用RC4的请求中有4%来自一种手机类型：诺基亚6120。当时，我们注意到大约0.000002%的CloudFlare请求使用RC4协议。在过去的9个月里，这个数字减少了一半，因此，尽管有些人仍在使用RC4，我们还是决定关闭该协议。它已经不再安全了。剩下的用户几乎都使用旧手机和WindowsXP（这两个组占基于RC4的请求的80%）。但是我们仍然可以看到一些来自SSL的连接，它拦截使用RC4的代理软件。重复我们5月份说过的话：深入研究美国的用户代理数据，我们看到以下web浏览器正在使用RC4访问CloudFlare支持的站点：Mozilla/5.0（Windows NT 6.1；WOW64）AppleWebKit/537.36（KHTML，像壁虎）Chrome/34.0.1847.137 Safari/537.36这是运行在windows7上的googlechrome的最新版本（你可以在上面的图表中看到windows7的存在）。不应该使用RC4。事实上，我们看到的使用RC4的Windows机器的大多数连接都不应该这样（因为对于旧机器，我们优先考虑3DES而不是RC4）。最初我们还不清楚为什么会发生这种情况，直到我们研究了这些连接的来源。它们主要集中在美国和巴西，大多数似乎来自学校、医院和其他大型机构使用的IP地址。尽管这些位置的桌面计算机具有最新的Windows和最新的浏览器（不会使用RC4），但它们所在的网络使用基于SSL的VPN或防火墙，这些VPN或防火墙对SSL连接进行路径攻击者监视。这使他们能够过滤出不受欢迎的站点，甚至那些使用HTTPS访问的站点，但是看起来VPN/防火墙软件使用的是旧的密码套件。该软件可能需要更新，以阻止它使用RC4进行安全连接。自5月份以来，这种情况基本上没有改变：有些机构（可能是出于id或策略强制原因）正在进行SSL截获，使用RC4进行出站连接，而许多明显的个人也在运行同样的软件。我们一直在跟踪学术界关于RC4攻击和RC4慢慢死亡的情况，因为人们从旧设备切换到新设备。随着RC4与CloudFlare的连接减少，以及学术界对RC4的另一个更容易攻击的传言，我们决定现在是完全禁用RC4的时候了。