Per le cifre, usa DHE-RSA-AES256-SHA .
Se utilizzi openssl ciphers -v puoi ottenere ulteriori informazioni su ogni cifra:
$ openssl ciphers -v DHE-RSA-AES256-SHA
DHE-RSA-AES256-SHA SSLv3 Kx=DH Au=RSA Enc=AES(256) Mac=SHA1
$ openssl ciphers -v AES256-SHA
AES256-SHA SSLv3 Kx=RSA Au=RSA Enc=AES(256) Mac=SHA1
Da questo puoi vedere che entrambi i cipher possono essere usati in SSLv3 , entrambi usano RSA per l'autenticazione ( Au=RSA ), entrambi usano AES a 256 bit per la crittografia ( Enc=AES(256) ), ed entrambi usano SHA-1 per il codice di autenticazione del messaggio ( Mac=SHA1 ).
Quindi l'unica differenza tra questi due codici è lo scambio di chiavi. AES256-SHA utilizza RSA per lo scambio di chiavi ( Kx=RSA ). DHE-RSA-AES256-SHA utilizza Diffie-Hellman effimero ( Kx=DH è Diffie-Hellman per lo scambio di chiavi e DHE è effimero Diffie-Hellman).
Diffie-Hellman è leggermente più difficile da rompere in teoria rispetto alla RSA, ma non così tanto da essere un fattore decisivo. DHE offre perfetto segreto diretto e perché la chiave è effimera (cioè, mai memorizzata su disco), rubare la chiave privata è molto più difficile. Questi due sono fattori decisivi, quindi DHE-RSA-AES256-SHA dovrebbe vincere per sicurezza.
La domanda DHE a 1024 bit vs RSA a 2048 bit ha un migliore confronto delle virtù dei due scambi di chiavi e la domanda C'è qualche ragione particolare per utilizzare Diffie-Hellman su RSA per lo scambio di chiavi? ha un molto compar dettagliato tra i due.