<div dir="ltr">On Fri, Sep 6, 2013 at 7:16 PM, Thijs Alkemade <span dir="ltr"><<a href="mailto:thijs@xnyhps.nl" target="_blank">thijs@xnyhps.nl</a>></span> wrote:<br><div class="gmail_extra"><div class="gmail_quote">
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div class="im"><span style="color:rgb(34,34,34)">However, a large number of clients do not prioritize (EC)DHE above the non-</span><br>
</div>
ephemeral variants. To enforce that these are used, it is therefore required<br>
to either disable all non-ephemeral suites or configure the server to override<br>
the client's order with the server's order.<br></blockquote><div><br></div><div>I may be talking rubbish, but shouldn't the server be overriding the client's order by default anyway?</div><div><br></div><div>
In other news, there's a lengthy discussion on use of ADH and unauthenticated TLS in general - we;ve previously considered this largely worthless, but using it forces an outside agency trying to "dragnet" to MITM every connection, which raises significant overhead.</div>
<div><br></div><div>Dave. </div></div></div></div>