Ho l'esigenza di configurare tutte le nostre applicazioni in modo che utilizzino solo cipherrite PFS dove possibile.
Ho un'applicazione (HP Network Automation), che supporta lo scambio di chiavi DHE (anche se non ECDHE), ma quando la limito solo alle seguenti due suite:
TLS_DHE_RSA_WITH_AES_128_CBC_SHA256, TLS_DHE_RSA_WITH_AES_256_CBC_SHA256
Non riesco a connettermi tramite IE11, FF o Chrome.
Ho esaminato le tracce di wireshark e, quando non ho restrizioni sul server, il client di Firefox Hello contiene 66 suite, tra cui 6b e 67, che sono le due sopra elencate.
Tuttavia, quando limito il server a offrire solo le 2 suite di cui sopra, il mio Client Hello contiene solo 11 suite e non include 6b o 67.
Pensavo che Client Hello fosse la prima vera comunicazione, (non includendo l'handshake TCP), quindi come può la configurazione del server influenzare il CLient Hello?
NB. Queste applicazioni sono accessibili solo tramite intranet e VPN, quindi abbiamo il controllo su quali client si connetteranno. Non abbiamo bisogno di offrire suite legacy.