RFC 3501 afferma:
IMAP client and server implementations MUST implement the TLS_RSA_WITH_RC4_128_MD5.
RFC 7465 afferma:
o TLS clients MUST NOT include RC4 cipher suites in the ClientHello message
o TLS servers MUST NOT select an RC4 cipher suite when a TLS client sends such a cipher suite in the ClientHello message.
o If the TLS client only offers RC4 cipher suites, the TLS server MUST terminate the handshake. The TLS server MAY send the insufficient_security fatal alert in this case.
Non vedo comunque di riconciliare queste due RFC. Ho visto che Google ha disattivato RC4 sui suoi server di posta elettronica e richiede TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256, ma non è necessariamente interoperabile con il resto del mondo.
È in arrivo un aggiornamento a RFC 3501 che modifica la suite di crittografia TLS obbligatoria?