Questo è un sottoinsieme della negoziazione della suite di crittografia TLS (o SSL, per configurazioni davvero non aggiornate). Vado più nel dettaglio in La mia risposta a ssl_ciphers raccomandati per sicurezza, compatibilità - Segreto perfetto in avanti , ma il lungo e in breve:
Per il documento TLS 1.2 RFC 5246 a partire dalla sezione 7.4.1.2 per vedere, nel breve breve modulo , la negoziazione della suite di crittografia:
- ClientHello: il client comunica al server quali suite di crittografia supportate dal client
- Ora il server ne sceglie uno
- Discuterò su come controllare quale sceglierà dopo
- ServerHello: il server comunica al client quale suite di crittografia ha scelto, o dà al client un messaggio di errore.
Quindi, ENTRAMBI il client AND il server dovrebbe consentire che anche la stessa suite di codici NULL sia possibile, e anche se entrambi lo consentono, dovrebbe essere quello che il server sceglie. Questo sarebbe un ambiente orribilmente cattivo; anche i peggiori errori normali a ssllabs.com (elenco di estrema destra, in particolare quelli di F) non vanno male, anche se sono vulnerabili a quasi tutto il resto sotto il sole.
Per il test, crea il tuo server e metti la suite di crittografia NULL che preferisci come unica opzione. Quindi utilizza openssl in modalità client o un browser che supporta la suite di crittografia NULL per testarlo.