Ospitiamo un sito Web e un'API SaaS con il protocollo https, a cui entrambi accedono numerosi utenti con molti browser diversi e app lato client. Cosa accadrebbe se rendessi obbligatorio PFS nella configurazione del mio server Web IIS? Potrebbero esserci problemi con client incompatibili che non sanno come gestire PFS?
Tutti i principali browser supportano ECDHE: IE da IE7 (su Vista e versioni successive) e Chrome e Firefox ancora più a lungo. Tuttavia, gli utenti di IE di Windows XP non ricevono il supporto ECDHE e, anche se Windows XP è passato al termine del ciclo di vita, le persone lo stanno ancora utilizzando. Se si desidera consentire agli utenti di XP, suggerisco di inserire le modalità ECDHE nella parte superiore della stringa di preferenze cipher. Se consideri PFS su utenti di Windows XP, crea una stringa di preferenze di cifratura con solo le modalità ECDHE.
I laboratori SSL di Qualsys hanno un ottimo articolo sulla distribuzione di PFS, e ovviamente il loro correttore ti aiuterà a capire quali browser negozieranno con quale suite di crittografia.
Leggi altre domande sui tag tls forward-secrecy