这是他们用于非过时密码学的定义：

为了让消息指示“现代密码学”，连​​接应使用前向保密和 AES-GCM 或 CHACHA20_POLY1305。众所周知，其他密码套件存在弱点。大多数服务器都希望协商 TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256。

在这种情况下，没有前向安全性是主要原因。由于在某些软件中依赖适当的填充和 IV 会导致漏洞，因此也不鼓励使用 CBC。

存在针对此密码套件的已知攻击。这种模式已经过时的主要原因是由于这些攻击。我向您推荐 Lucky 13 攻击（由 Nadhem AlFardan 和 Kenny Paterson 编写），这是一种高级填充预言攻击，它使用填充和其他错误之间的时间差。以标准方式克服这一点非常困难。这在此处对攻击的原始解释中以及在此处对攻击的亚当兰利的解释中进行了详细说明。

密码套件不是前向安全的事实也很重要，但肯定是次要的。