Wenn der Browser eine SSL-verschlüsselte Verbindung zu einem Webserver aufbaut, sendet er eine Liste der unterstützten TLS-Features, Cipher und der nutzbaren elliptischen Kurven für EC-Crypto. Die Reihenfolge und Inhalt ist unterschiedlich für verschiedene Browser und Versionen.
- Firefox 53 sendete beispielsweise:
<e name='Firefox/53.0' protocol='771' extTypes='21 23
65281 10 11 16 5 18 40 43 13' suites='4865 4867 4866 49195 49199 52393
52392 49196 49200 49171 49172 51 53' curves='29 23 24 25 256 257'
points='AA==' compress='AA=='/>
- Google Chrome sendet:
<e name='Chrome/57.0.2951.0' protocol='771' greateExt='1'
extTypes='65281 0 23 35 13 5 18 16 30032 11 40 45 43 10 21'
greaseSuite='1' suites='4865 4866 4867 49195 49199 49196 49200 52393
52392 52244 52243 49171 49172 156 157 47 53 10' greaseCurves='1'
curves='29 23 24' points='AA==' compress='AA=='/>
Wenn man an den SSL-Ciphern rumspielt und schwache Cipher wie AES-CBC-SHA deaktiviert, kreiert man möglicherweise ein individuelles Erkennungsmerkmal anhand dessen man beim Aufruf einer verschlüsselten Webseite wiedererkennbar ist.
Deshalb ist es keine gute Empfehlung, an den Einstellungen für Ciphern rumzuspielen. Es ist besser, einen aktuellen Firefox bzw. Firefox ESR zu verwenden und es bei den Einstellungen der Entwickler der NSS Crypto Lib zu belassen.