なぜこんなに遅くなったのかというと、現在RC4必須のサイトがまだ少し残っており、根拠は無いものの企業サイトでの利用率が高いという噂があるためとのこと

RC4 の終焉が遅れた理由については、今から3～4年前にSSL/TLS において CBCモードで AES 等のブロック暗号を使っている場合に、BEAST攻撃やLucky13攻撃などを受ける危険が指摘されるようになり、RC4 を使えば安全だと推奨する人たちが増えて、実際に多くの企業のサーバで SSL/TLS の Cipher リスト（Server hello）で RC4 の優先度を上げたからだと思います。

そういった経緯もあって、暗号学的に弱いとされていた RC4 がなかなか無効にならず、騒がれる対象が SHA1 の脆弱さ、SHA2 証明書への移行に集中していたのでは？

例えば、Lucky13 攻撃についてての原著論文 [rhul.ac.uk]では、対策として RC4 の使用が挙げられています。そして、Microsoft も「サーバー側で RC4 を優先するよう設定する」ことを推奨するかのような文章 [technet.com]を公開するなどしていました。

しかし、RC4 は暗号学的に根本的な脆弱性を抱えていますので、BEAST や Lucky13 の対策として RC4 を使っている人は、ただちに対策を改めるべきです。

現在、BEAST 攻撃は TLS1.1 を使うことで防げますし（IVがリフレッシュされ安全）、Lucky13 は GCM を使用した Cipher を使う（必要なセキュリティレベルによって優先または強制）ことで防ぐことができます。ただ、TLS 1.1 が既定で有効なのは IE だと最新の 11 のみ、Android も 5.0 （Lollipop）以上 [wikipedia.org] とブラウザの実装が残念な状況なので、現実的には現時点でのサーバサイドでの TLS 1.0 無効化（TLS 1.1 以上の強制）は厳しいですが。