Estamos alojando un sitio web y una API de SaaS con el protocolo https, a los que acceden numerosos usuarios con diferentes navegadores y aplicaciones del lado del cliente. ¿Qué pasaría si hiciera PFS obligatorio en la configuración de mi servidor web IIS? ¿Podría haber problemas con clientes incompatibles que no saben cómo manejar PFS?
Todos los principales navegadores son compatibles con ECDHE: IE desde IE7 (en Vista y más nuevos), y Chrome y Firefox por más tiempo. Sin embargo, los usuarios de Windows XP de IE no obtienen soporte de ECDHE, y aunque Windows XP se encuentra en el final de su vida útil, la gente todavía lo está utilizando. Si desea permitir a los usuarios de XP, sugiero que solo coloque los modos ECDHE en la parte superior de la cadena de preferencia de cifrado. Si valora PFS sobre los usuarios de Windows XP, cree una cadena de preferencia de cifrado con solo los modos ECDHE.
Los laboratorios de SSL de Qualsys tienen un gran artículo en la implementación de PFS, y por supuesto, su verificador lo ayudará a determinar qué navegadores negociarán con qué conjunto de cifrado.
Lea otras preguntas en las etiquetas tls forward-secrecy