2.2.2. Suítes de cifras
As suítes de cifras modernas e mais seguras devem ser preferidas às antigas e inseguras. Sempre desabilite o uso das suítes de cifras eNULL e aNULL, que não oferecem nenhuma criptografia ou autenticação. Se possível, as suítes de cifras baseadas em RC4 ou HMAC-MD5, que têm sérias deficiências, também devem ser desativadas. O mesmo se aplica às chamadas suítes de cifras de exportação, que foram intencionalmente tornadas mais fracas e, portanto, são fáceis de quebrar.
Embora não imediatamente inseguras, as suítes de cifras que oferecem menos de 128 bits de segurança não devem ser consideradas para sua curta vida útil. Algoritmos que usam 128 bits de segurança ou mais podem ser inquebráveis por pelo menos vários anos e, portanto, são fortemente recomendados. Note que enquanto as cifras 3DES anunciam o uso de 168 bits, elas realmente oferecem 112 bits de segurança.
Sempre dê preferência a conjuntos de cifras que suportem (perfeito) sigilo (PFS), o que garante a confidencialidade dos dados criptografados, mesmo no caso da chave do servidor ser comprometida. Isto exclui a rápida troca de chaves RSA, mas permite o uso de ECDHE e DHE. Dos dois, o ECDHE é o mais rápido e, portanto, a escolha preferida.
Você também deve dar preferência às cifras AEAD, como AES-GCM, antes das cifras CBC-mode, pois elas não são vulneráveis a ataques de oráculos de enchimento. Além disso, em muitos casos, o AES-GCM é mais rápido que o AES em modo CBC, especialmente quando o hardware possui aceleradores criptográficos para AES.
Observe também que ao utilizar a troca de chaves ECDHE com certificados ECDSA, a transação é ainda mais rápida do que a troca de chaves RSA puras. Para dar suporte aos clientes antigos, é possível instalar dois pares de certificados e chaves em um servidor: um com chaves ECDSA (para novos clientes) e outro com chaves RSA (para os clientes antigos).