In realtà la maggior parte dei siti Web fa implementa inoltro segreto , cioè almeno uno dei " DHE "(o" ECDHE ") suite di crittografia. La maggior parte delle implementazioni SSL li supporta immediatamente e la maggior parte dei certificati server SSL è adeguata (con una suite di crittografia DHE, la chiave del server viene utilizzata per una firma , ma quasi tutti usano RSA e quasi tutti i certificati RSA consentire l'uso della chiave per le firme).
Tuttavia, la maggior parte delle implementazioni SSL sono anche cortesi , in quanto il server segue le preferenze del client. Ciò significa che, nella lista delle suite di cifratura annunciate come supportate dal client (nel messaggio ClientHello
), il server di solito seleziona il primo che è anche supportato sul lato server. Poiché la maggior parte dei clienti tende a mettere le suite di crittografia non DHE per prime, le suite DHE rimangono inutilizzate.
Il costo aggiuntivo sostenuto dalle suite di crittografia DHE è lieve e quasi sempre trascurabile:
-
Il costo computazionale per l'handshake è circa raddoppiato. Ciò significa che un server di base può eseguire "solo" 1000 handshake al secondo invece di 3000, in base alla CPU disponibile. Poiché i server di solito non vantano 1000 nuovi client al secondo, su un singolo PC, questa limitazione non è mai una vera limitazione nella pratica.
-
La larghezza di banda extra è piccola: meno di 1 kilobyte di overhead indotto dall'uso di una suite di crittografia DHE. Anche in questo caso, questo sovraccarico è solo per una stretta di mano completa, cioè la prima connessione tra un client e un server; le connessioni successive useranno la "stretta di mano abbreviata", che è più efficiente e completamente priva di impatti dall'effettiva suite di crittografia.
Quindi, per riassumere, inoltrare la segretezza è già lì ed è sottoutilizzata solo a causa del comportamento tradizionale di client e server (ordine di preferenza) che rimane invariato per nessun motivo tecnico valido, solo inerzia . In alcuni casi, gli sviluppatori o gli amministratori di sistema disattivano il supporto DHE sulla base di alcune voci infondate su come DHE sia "molto costoso" e "potrebbe avere un strong impatto sulle prestazioni", ma questi miti vengono facilmente dissipati con alcuni benchmark effettivi e sono ancora rari. I browser e i server scelgono le suite di crittografia non DHE soprattutto perché questo è il comportamento predefinito e nessuno si sente abbastanza motivato per fare qualcosa al riguardo.
Per essere completo, è un effetto extra: quando è stato pubblicato l'attacco BEAST, le persone si sono lasciate prendere dal panico, e il mantra comune era: "usa RC4, è immune". SSL non ha una suite di crittografia DHE con RC4 (non c'è incompatibilità tra DH e RC4, ma succede che non è stata definita alcuna suite di crittografia standard). Ciò ha comportato clienti e server che preferivano suite di crittografia RC4, il che implica indirettamente non utilizzando le suite di crittografia DHE.