CBC 相關的 TLS 密碼套件將在伺服器端禁用

我了解使用 CBC 模式的 TLS 密碼套件容易受到定時攻擊。從這種理解看來，使用 GCM（基於 CTR）的密碼套件似乎可以安全使用，因為它們不需要填充。

但是，在 Java 中，SunJSSE 提供程序預設啟用許多使用 CBC 的密碼套件。是否使用這些密碼套件取決於客戶的偏好。

在使用 Chrome 和 FireFox 最新版本時，我注意到使用的密碼套件是 AES_128_GCM。

現在，是否建議禁用伺服器中所有與 CBC 相關的密碼套件，以確保無論客戶端偏好如何都只使用 GCM？這種僅使用 GCM 相關密碼套件的方法是否有任何限制？

基於上述有用的評論，我發現一些可以深入了解此事的資源如下：

1. TLS Support告訴我們哪些瀏覽器版本支持哪些 TLS 版本。由於（正如puzzlepalace提到的）GCM 是在 TLSv1.2 中引入的，我們知道如果只支持 GCM，我們會錯過哪些瀏覽器版本
2. Qualys（正如林提到的）展示了一些最好的 SSL 配置網站和使用的密碼套件。這也顯示了您的瀏覽器使用的密碼套件。此處列出了 TLS 部署的最佳實踐和推薦的密碼套件列表。最後，這張表列出了哪些瀏覽器版本支持什麼。

總之，自 2013 年 10 月以來，所有主要瀏覽器都支持 TLS 1.2，因此支持 GCM。

前向保密 (ECDHE) 甚至可以在以前使用。

引用自：https://crypto.stackexchange.com/questions/63254