Tengo el requisito de configurar todas nuestras aplicaciones para usar solo conjuntos de cifrado PFS donde sea posible.
Tengo una aplicación (HP Network Automation), que admite el intercambio de claves DHE (aunque no ECDHE), pero cuando lo limito solo a las siguientes dos suites:
TLS_DHE_RSA_WITH_AES_128_CBC_SHA256, TLS_DHE_RSA_WITH_AES_256_CBC_SHA256
No puedo conectarme a través de IE11, FF o Chrome.
He examinado las huellas de Wirehark y, cuando no tengo restricciones en el extremo del servidor, el Cliente de Firefox Hello contiene 66 suites, incluidas 6b y 67, que son las dos mencionadas anteriormente.
Sin embargo, cuando restringo el servidor para que solo ofrezca las 2 suites anteriores, mi cliente Hola solo contiene 11 suites y no incluye 6b o 67.
Pensé que el Cliente Hola fue la primera comunicación real (sin incluir el protocolo TCP), entonces, ¿cómo puede influir la configuración del servidor en el Cliente Hola?
N.B. Solo se puede acceder a estas aplicaciones a través de intranet y VPN, por lo que tenemos control sobre qué clientes se conectarán. No necesitamos ofrecer suites heredadas.