Qualsiasi client che implementa SSL 3.0, TLS 1.0 o TLS 1.1 utilizza necessariamente implementazioni sia di MD5 che di SHA-1, poiché entrambe le funzioni sono utilizzate nel meccanismo interno per derivare le chiavi simmetriche dal segreto condiviso ottenuto dall'algoritmo di scambio di chiavi ( questo meccanismo è chiamato PRF ). Pertanto, è altamente improbabile che un client possa supportare RC4-MD5 ma non le suite di crittografia RC4-SHA1. Pertanto, la rimozione del supporto per RC4-MD5 non dovrebbe interrompere nulla finché si mantiene il supporto per RC4-SHA1.
Per BEAST , vedi questa risposta . Riepilogo: BEAST può funzionare solo su browser che hanno avuto almeno due anni di assenza di patch, in cui il punto BEAST è l'ultima delle loro preoccupazioni; hanno fori molto più grandi spalancati. In ogni caso, BEAST è un attacco al client , non sul server. Direi che BEST è ora discutibile (un'interessante applicazione di una vulnerabilità crittografica nota, ma non una vera minaccia al giorno d'oggi). Di solito è necessario "fare qualcosa" su BEAST per non migliorare la sicurezza, ma per calmare alcuni auditor che credono che le liste di controllo possano sostituire il pensiero quando vengono applicate a una tecnologia che non capiscono.
Per CRIME , la suite di crittografia è (principalmente) irrilevante. "Risolvi" CRIME non utilizzando la compressione a livello TLS. I browser esistenti non lo supportano comunque (non hanno mai avuto, o hanno smesso di farlo qualche tempo fa).