Cualquier cliente que implemente SSL 3.0, TLS 1.0 o TLS 1.1 necesariamente usa implementaciones de MD5 y SHA-1, ya que ambas funciones se usan en el mecanismo interno para derivar claves simétricas del secreto compartido obtenido del algoritmo de intercambio de claves ( este mecanismo se llama PRF ). Por lo tanto, es altamente improbable que un cliente sea compatible con RC4-MD5 pero no con los conjuntos de cifrado RC4-SHA1. Por lo tanto, eliminar el soporte para RC4-MD5 no debe romper nada, siempre y cuando se mantenga el soporte para RC4-SHA1.
Para BEAST , consulte esta respuesta . Resumen: BEAST puede funcionar solo en navegadores que han pasado al menos dos años sin parches, en cuyo punto BEAST es la menor de sus preocupaciones; Tienen agujeros mucho más grandes abiertos. En cualquier caso, BEAST es un ataque al cliente , no al servidor. Diría que BEAST ahora es discutible (una aplicación interesante de una vulnerabilidad criptográfica conocida, pero no una amenaza real en la actualidad). Por lo general, debe "hacer algo" sobre BEAST no para mejorar la seguridad, sino para apaciguar a algunos auditores que creen que las listas de verificación pueden reemplazar el pensamiento cuando se aplican a una tecnología que no comprenden.
Para CRIME , el conjunto de cifrado es (en su mayoría) irrelevante. Usted "arregla" el CRIMEN al no utilizar la compresión de nivel TLS. Los navegadores existentes no lo admiten de todos modos (nunca lo han hecho, o dejaron de hacerlo hace algún tiempo).