Este es un subconjunto de la negociación del conjunto de cifrado TLS (o SSL, para configuraciones realmente desactualizadas). Entro en más detalles en Mi respuesta a los ssl_ciphers recomendados para seguridad, compatibilidad - Secreto directo perfecto , pero el largo y a falta de eso está:
Por el documento TLS 1.2 RFC 5246 a partir de la sección 7.4.1.2 para ver, en forma corta , la negociación de la suite de cifrado:
- ClientHello: el cliente le dice al servidor qué conjuntos de cifrado admite el cliente
- Ahora el servidor escoge uno
- ¡Discutiré cómo controlar cuál elige a continuación!
- ServerHello: el servidor le dice al cliente qué conjunto de cifrado ha elegido, o le da un mensaje de error al cliente.
Por lo tanto, TANTO el cliente Y el servidor tendrían que permitir el mismo conjunto de cifrado NULL para que sea posible, e incluso si ambos lo permiten, tendría que ser el que el servidor elija. Esto sería un escenario horriblemente malo; incluso las peores fallas normales en ssllabs.com (lista a la derecha, busque particularmente las F's) no se ponen tan mal, aunque son vulnerables a casi todo lo demás bajo el sol.
Para su prueba, cree su propio servidor y coloque el conjunto de cifrado NULL que prefiera como la única opción. Luego use openssl en modo cliente o un navegador que admita ese conjunto de cifrado NULL para probarlo.