Context Navigation

Changes between Version 45 and Version 46 of CipherNegotiation

Timestamp:: 08/13/20 13:21:16 (4 years ago)
Author:: tct
Comment:: --

Legend:

: Unmodified
: Added
: Removed
: Modified

CipherNegotiation

-                      v45
+                      v46
 [[TOC(notitle, inline)]]
 == Effective directives
+== Effective directives and terms
 .5: `--data-ciphers ALG:ALG` - Data channel ciphers. Default `ALG` AES-256-GCM:AES-128-GCM [[br]]
 .5: `--data-ciphers-fallback ALG` - Fallback data channel cipher.[[br]]
 …
   In OpenVPN up to 2.4 the default `ALG` is BF-CBC.[[br]]
 .4: `--ncp-disable` - Disable NCP - **Deprecated**.[[br]]
+[[br]]
+In this Wiki cipher negotiation comes in four flavours:
+  * **Full** negotiation: Both server and client support NCP
+  * **Partial** negotiation: Only the client supports NCP (Known as "Poor man's NCP")
+  * **No** negotiation: The client does not support NCP (The server NCP has no effect).
+  * When the server supports NCP but has a mixture of clients then NCP is defined as '**Yes**'.
+Cipher negotiation was originally named "Negotiated Cipher Protocol" **NCP**
 == Common configurations
 …
   * Version 2.5
     a. Default configuration: No effective directives specified.[[br]]
     a. Configuring: `--data-ciphers` and `--cipher`[[br]]
+    a. Configuring: `--data-ciphers`[[br]]
   * Version 2.4
 …
 === Server version 2.5
 ==== Default configuration: No effective directives specified.[[br]]
 ||  `--cipher`  ||=  `--data-ciphers`          =||=  `-fallback`  =||  NCP  ||
 ||  -           ||=  -                         =||=  -            =||  Yes  ||
     * __Client version 2.5__
   ||  `--cipher`   ||=  `--data-ciphers`  =||=  `-fallback`  =||  NCP  ||  Connection  ||
   ||  -            ||=  -  =||=  -  =||  Yes  ||  '''[[span(style=color: #007000, OK. AES-256-GCM )]]'''  ||
   ||  -            ||=  AES-256-GCM: \\ AES-128-GCM: \\ AES-256-CBC: BF-CBC  =||=  -  =||  Yes  ||  '''[[span(style=color: #007000, OK. AES-256-GCM )]]'''  ||
   ||  -            ||=  AES-256-CBC  =||=  -  =||  Yes  ||  `Fail (no shared cipher)`  ||
   ||  AES-256-CBC  ||=  -  =||=  -  =||  Yes  ||  '''[[span(style=color: #007000, OK. AES-256-GCM )]]'''  ||
+||=  `--data-ciphers`          =||=  `-fallback`  =||  NCP  ||
+||=  -                         =||=  -            =||  Yes  ||
+    * __Client version 2.5__
+  ||  `--cipher`  ||=  `--data-ciphers`  =||=  `-fallback`  =||  NCP  ||  Connection  ||
+  ||  -           ||=  -                 =||=  -            =||  Full  ||  '''[[span(style=color: #007000, OK. AES-256-GCM )]]'''  ||
+  ||  -           ||=  AES-256-GCM: \\ AES-128-GCM: \\ AES-256-CBC:BF-CBC  =||=  -  =||  Full  ||  '''[[span(style=color: #007000, OK. AES-256-GCM )]]'''  ||
+  ||  -           ||=  AES-256-CBC       =||=            -  =||  Full  ||  `Fail (no shared cipher)`  ||
+  ||  AES-256-CBC  ||=  -                =||=  -            =||  Full  ||  '''[[span(style=color: #007000, OK. AES-256-GCM )]]'''  ||
     * __Client version 2.4__
   ||  `--cipher`   ||  NCP  ||  Connection       ||
   ||  -            ||  Yes  ||  '''[[span(style=color: #007000, OK. AES-256-GCM )]]'''  ||
   ||  AES-256-CBC  ||  Yes  ||  '''[[span(style=color: #007000, OK. AES-256-GCM )]]'''  ||
   ||  BF-CBC       ||  Yes  ||  '''[[span(style=color: #007000, OK. AES-256-GCM )]]'''  ||
+  ||  -            ||  Full  ||  '''[[span(style=color: #007000, OK. AES-256-GCM )]]'''  ||
+  ||  AES-256-CBC  ||  Full  ||  '''[[span(style=color: #007000, OK. AES-256-GCM )]]'''  ||
+  ||  BF-CBC       ||  Full  ||  '''[[span(style=color: #007000, OK. AES-256-GCM )]]'''  ||
     * __Client version 2.3__
 …
 ----
 ==== Server version 2.5 Configuring: `--data-ciphers` and `--cipher`[[br]]
 ||  `--cipher`  ||=  `--data-ciphers`  =||=  `-fallback`  =||  NCP  ||
 ||  BF-CBC  ||=  AES-256-GCM:AES-128-GCM:AES-256-CBC  =||=  -  =||  Yes  ||
+==== Server version 2.5 Configuring: `--data-ciphers`[[br]]
+||=  `--data-ciphers`  =||=  `-fallback`  =||  NCP  ||
+||=  AES-256-GCM:AES-128-GCM:AES-256-CBC:BF-CBC  =||=  -  =||  Yes  ||
     * __Client version 2.3__
 …
     * __Client version 2.5__
   ||  `--cipher`   ||=  `--data-ciphers`  =||=  `-fallback`  =||  NCP  ||  Connection  ||
+  ||    -          ||=  -  =||=  -  =||  Yes  ||  '''[[span(style=color: #007000, OK. AES-256-GCM )]]'''  ||
+  ||  AES-256-CBC  ||=  -  =||=  -  =||  Yes  ||  '''[[span(style=color: #007000, OK. AES-256-GCM )]]'''  ||
+  ||  BF-CBC       ||=  -  =||=  -  =||  Yes  ||  '''[[span(style=color: #007000, OK. AES-256-GCM )]]'''  ||
+    * __Client version 2.4__
+  ||  `--cipher`   ||=  `--ncp-ciphers`  =||  NCP  ||  Connection  ||
+  ||  -            ||=  -  =||  Yes  ||  '''[[span(style=color: #007000, OK. AES-256-GCM )]]'''  ||
+  ||  AES-256-CBC  ||=  -  =||  Yes  ||  '''[[span(style=color: #007000, OK. AES-256-GCM )]]'''  ||
+  ||  BF-CBC       ||=  -  =||  Yes  ||  '''[[span(style=color: #007000, OK. AES-256-GCM )]]'''  ||
+  ||    -          ||=  -  =||=  -  =||  Full  ||  '''[[span(style=color: #007000, OK. AES-256-GCM )]]'''  ||
+  ||  -       ||=  AES-256-GCM: \\ AES-128-GCM: \\ AES-256-CBC:BF-CBC   =||=  -  =||  Full  ||  '''[[span(style=color: #007000, OK. AES-256-GCM )]]'''  ||
+  ||  -       ||=  AES-256-CBC  =||=  -  =||  Full  ||  `Fail (no shared cipher)`  ||
+  ||  AES-256-CBC  ||=  -  =||=  -  =||  Full  ||  '''[[span(style=color: #007000, OK. AES-256-GCM )]]'''  ||
+    * __Client version 2.4__
+  ||  `--cipher`   ||=  `--ncp-ciphers`  =||  NCP  ||  Connection  ||
+  ||  -            ||=  -  =||  Full  ||  '''[[span(style=color: #007000, OK. AES-256-GCM )]]'''  ||
+  ||  AES-256-CBC  ||=  -  =||  Full  ||  '''[[span(style=color: #007000, OK. AES-256-GCM )]]'''  ||
+  ||  BF-CBC       ||=  -  =||  Full  ||  '''[[span(style=color: #007000, OK. AES-256-GCM )]]'''  ||
     * __Client version 2.3__
 …
     * __Client version 2.5__
   ||  `--cipher`   ||=  `--data-ciphers`  =||=  `-fallback`  =||  NCP  ||  Connection  ||
   ||    -          ||=  -  =||=  -  =||  Yes  ||  '''[[span(style=color: #007000, OK. AES-256-GCM )]]'''  ||
   ||  AES-256-CBC  ||=  -  =||=  -  =||  Yes  ||  '''[[span(style=color: #007000, OK. AES-256-GCM )]]'''  ||
   ||  BF-CBC       ||=  -  =||=  -  =||  Yes  ||  '''[[span(style=color: #007000, OK. AES-256-GCM )]]'''  ||
     * __Client version 2.4__
   ||  `--cipher`   ||=  `--ncp-ciphers`  =||  NCP  ||  Connection  ||
   ||  -            ||=  -  =||  Yes  ||  '''[[span(style=color: #007000, OK. AES-256-GCM )]]'''  ||
   ||  AES-256-CBC  ||=  -  =||  Yes  ||  '''[[span(style=color: #007000, OK. AES-256-GCM )]]'''  ||
   ||  BF-CBC       ||=  -  =||  Yes  ||  '''[[span(style=color: #007000, OK. AES-256-GCM )]]'''  ||
+  ||    -          ||=  -  =||=  -  =||  Full  ||  '''[[span(style=color: #007000, OK. AES-256-GCM )]]'''  ||
+  ||  -       ||=  AES-256-GCM: \\ AES-128-GCM: \\ AES-256-CBC:BF-CBC   =||=  -  =||  Full  ||  '''[[span(style=color: #007000, OK. AES-256-GCM )]]'''  ||
+  ||  AES-256-CBC  ||=  -  =||=  -  =||  Full  ||  '''[[span(style=color: #007000, OK. AES-256-GCM )]]'''  ||
+    * __Client version 2.4__
+  ||  `--cipher`   ||=  `--ncp-ciphers`  =||  NCP  ||  Connection  ||
+  ||  -            ||=  -  =||  Full  ||  '''[[span(style=color: #007000, OK. AES-256-GCM )]]'''  ||
+  ||  AES-256-CBC  ||=  -  =||  Full  ||  '''[[span(style=color: #007000, OK. AES-256-GCM )]]'''  ||
+  ||  BF-CBC       ||=  -  =||  Full  ||  '''[[span(style=color: #007000, OK. AES-256-GCM )]]'''  ||
     * __Client version 2.3__
 …
 ==== Server version 2.4 Configuring: `--cipher` and `--ncp-disable`[[br]]
 ||  `--cipher`   ||=  `--ncp-ciphers`       =||  NCP  ||
 ||  AES-256-CBC  ||=  -                     =||  No  ||
     * __Client version 2.5__
   ||  `--cipher`   ||=  `--data-ciphers`  =||=  `-fallback`  =||  NCP  ||  Connection  ||
   ||    -          ||=  -  =||=  -  =||  `Denied`  ||  `Fail (no shared cipher)`  ||
   ||  AES-256-CBC  ||=  -  =||=  -  =||  `Denied`  ||  '''[[span(style=color: #007000, OK. AES-256-CBC )]]'''  ||
   ||  BF-CBC       ||=  -  =||=  -  =||  `Denied`  ||  `Fail (no shared cipher)`  ||
     * __Client version 2.4__
   ||  `--cipher`   ||=  `--ncp-ciphers`  =||  NCP  ||  Connection  ||
   ||  -            ||=  -  =||  `Denied`  ||  `Fail (no shared cipher)`  ||
   ||  AES-256-CBC  ||=  -  =||  `Denied`  ||  '''[[span(style=color: #007000, OK. AES-256-CBC )]]'''  ||
   ||  BF-CBC       ||=  -  =||  `Denied`  ||  `Fail (no shared cipher)`  ||
+||  AES-256-CBC  ||=  -                     =||  No `--ncp-disable`  ||
+    * __Client version 2.5__
+  ||  `--cipher`   ||=  `--data-ciphers`  =||=  `-fallback`  =||  NCP  ||  Connection  ||
+  ||    -          ||=  -  =||=  -  =||  Partial  ||  `Fail (no shared cipher)`  ||
+  ||  -       ||=  AES-256-GCM: \\ AES-128-GCM: \\ AES-256-CBC:BF-CBC   =||=  -  =||  Partial  ||  '''[[span(style=color: #007000, OK. AES-256-CBC )]]'''  ||
+  ||  AES-256-CBC  ||=  -  =||=  -  =||  Partial  ||  '''[[span(style=color: #007000, OK. AES-256-CBC )]]'''  ||
+    * __Client version 2.4__
+  ||  `--cipher`   ||=  `--ncp-ciphers`  =||  NCP  ||  Connection  ||
+  ||  -            ||=  -  =||  Partial  ||  `Fail (no shared cipher)`  ||
+  ||  AES-256-CBC  ||=  -  =||  Partial  ||  '''[[span(style=color: #007000, OK. AES-256-CBC )]]'''  ||
+  ||  BF-CBC       ||=  -  =||  Partial  ||  `Fail (no shared cipher)`  ||
     * __Client version 2.3__
 …
     * __Client version 2.5__
   ||  `--cipher`   ||=  `--data-ciphers`  =||=  `-fallback`  =||  NCP  ||  Connection  ||
   ||    -          ||=  -  =||=  -  =||  `Denied`  ||  `Fail (no shared cipher)`  ||
   ||  AES-256-CBC  ||=  -  =||=  -  =||  `Denied`  ||  `Fail (no shared cipher)`  ||
   ||  BF-CBC       ||=  -  =||=  -  =||  `Denied`  ||  ''[[span(style=color: #806000, **Weak** BF-CBC )]]''  ||
     * __Client version 2.4__
   ||  `--cipher`   ||=  `--ncp-ciphers`  =||  NCP  ||  Connection  ||
   ||  -            ||=  -  =||  `Denied`  ||  `Fail (no shared cipher)`  ||
   ||  AES-256-CBC  ||=  -  =||  `Denied`  ||  `Fail (no shared cipher)`  ||
   ||  BF-CBC       ||=  -  =||  `Denied`  ||  ''[[span(style=color: #806000, **Weak** BF-CBC )]]''  ||
+  ||    -          ||=  -  =||=  -  =||  Partial  ||  `Fail (no shared cipher)`  ||
+  ||  -       ||=  AES-256-GCM: \\ AES-128-GCM: \\ AES-256-CBC:BF-CBC   =||=  -  =||  Partial  ||  ''[[span(style=color: #806000, **Weak** BF-CBC )]]''  ||
+  ||  AES-256-CBC  ||=  -  =||=  -  =||  Partial  ||  `Fail (no shared cipher)`  ||
+    * __Client version 2.4__
+  ||  `--cipher`   ||=  `--ncp-ciphers`  =||  NCP  ||  Connection  ||
+  ||  -            ||=  -  =||  Partial  ||  `Fail (no shared cipher)`  ||
+  ||  AES-256-CBC  ||=  -  =||  Partial  ||  `Fail (no shared cipher)`  ||
+  ||  BF-CBC       ||=  -  =||  Partial  ||  ''[[span(style=color: #806000, **Weak** BF-CBC )]]''  ||
     * __Client version 2.3__
 …
     * __Client version 2.5__
   ||  `--cipher`   ||=  `--data-ciphers`  =||=  `-fallback`  =||  NCP  ||  Connection  ||
   ||    -          ||=  -  =||=  -  =||  `Denied`  ||  `Fail (no shared cipher)`  ||
   ||  AES-256-CBC  ||=  -  =||=  -  =||  `Denied`  ||  '''[[span(style=color: #007000, OK. AES-256-CBC )]]'''  ||
   ||  BF-CBC       ||=  -  =||=  -  =||  `Denied`  ||  `Fail (no shared cipher)`  ||
     * __Client version 2.4__
   ||  `--cipher`   ||=  `--ncp-ciphers`  =||  NCP  ||  Connection  ||
   ||  -            ||=  -  =||  `Denied`  ||  `Fail (no shared cipher)`  ||
   ||  AES-256-CBC  ||=  -  =||  `Denied`  ||  '''[[span(style=color: #007000, OK. AES-256-CBC )]]'''  ||
   ||  BF-CBC       ||=  -  =||  `Denied`  ||  `Fail (no shared cipher)`  ||
+  ||    -          ||=  -  =||=  -  =||  Partial  ||  `Fail (no shared cipher)`  ||
+  ||  -       ||=  AES-256-GCM: \\ AES-128-GCM: \\ AES-256-CBC:BF-CBC   =||=  -  =||  Partial  ||  '''[[span(style=color: #007000, OK. AES-256-CBC )]]'''  ||
+  ||  AES-256-CBC  ||=  -  =||=  -  =||  Partial  ||  '''[[span(style=color: #007000, OK. AES-256-CBC )]]'''  ||
+    * __Client version 2.4__
+  ||  `--cipher`   ||=  `--ncp-ciphers`  =||  NCP  ||  Connection  ||
+  ||  -            ||=  -  =||  Partial  ||  `Fail (no shared cipher)`  ||
+  ||  AES-256-CBC  ||=  -  =||  Partial  ||  '''[[span(style=color: #007000, OK. AES-256-CBC )]]'''  ||
+  ||  BF-CBC       ||=  -  =||  Partial  ||  `Fail (no shared cipher)`  ||
     * __Client version 2.3__
 …
     * __Client version 2.5__
   ||  `--cipher`   ||=  `--data-ciphers`  =||=  `-fallback`  =||  NCP  ||  Connection  ||
   ||    -          ||=  -  =||=  -  =||  `Denied`  ||  `Fail (no shared cipher)`  ||
   ||  AES-256-CBC  ||=  -  =||=  -  =||  `Denied`  ||  `Fail (no shared cipher)`  ||
   ||  BF-CBC       ||=  -  =||=  -  =||  `Denied`  ||  ''[[span(style=color: #806000, **Weak** BF-CBC )]]''  ||
     * __Client version 2.4__
   ||  `--cipher`   ||=  `--ncp-ciphers`  =||  NCP  ||  Connection  ||
   ||  -            ||=  -  =||  `Denied`  ||  ''[[span(style=color: #806000, **Weak** BF-CBC )]]''  ||
   ||  AES-256-CBC  ||=  -  =||  `Denied`  ||  `Fail (no shared cipher)`  ||
   ||  BF-CBC       ||=  -  =||  `Denied`  ||  ''[[span(style=color: #806000, **Weak** BF-CBC )]]''  ||
+  ||    -          ||=  -  =||=  -  =||  Partial  ||  `Fail (no shared cipher)`  ||
+  ||  -       ||=  AES-256-GCM: \\ AES-128-GCM: \\ AES-256-CBC:BF-CBC   =||=  -  =||  Partial  ||  ''[[span(style=color: #806000, **Weak** BF-CBC )]]''  ||
+  ||  AES-256-CBC  ||=  -  =||=  -  =||  Partial  ||  `Fail (no shared cipher)`  ||
+    * __Client version 2.4__
+  ||  `--cipher`   ||=  `--ncp-ciphers`  =||  NCP  ||  Connection  ||
+  ||  -            ||=  -  =||  Partial  ||  ''[[span(style=color: #806000, **Weak** BF-CBC )]]''  ||
+  ||  AES-256-CBC  ||=  -  =||  Partial  ||  `Fail (no shared cipher)`  ||
+  ||  BF-CBC       ||=  -  =||  Partial  ||  ''[[span(style=color: #806000, **Weak** BF-CBC )]]''  ||
     * __Client version 2.3__
 …
 ==== Server version 2.2 Configuring: `--cipher`[[br]]
 ||  `--cipher`  ||  NCP  ||
 ||  AES-256-CBC           ||  No   ||
     * __Client version 2.5__
   ||  `--cipher`   ||=  `--data-ciphers`  =||=  `-fallback`  =||  NCP  ||  Connection  ||
   ||    -          ||=  -  =||=  -  =||  `Denied`  ||  `Fail (no shared cipher)`  ||
   ||  AES-256-CBC  ||=  -  =||=  -  =||  `Denied`  ||  '''[[span(style=color: #007000, OK. AES-256-CBC )]]'''  ||
   ||  BF-CBC       ||=  -  =||=  -  =||  `Denied`  ||  `Fail (no shared cipher)`  ||
     * __Client version 2.4__
   ||  `--cipher`   ||=  `--ncp-ciphers`  =||  NCP  ||  Connection  ||
   ||  -            ||=  -  =||  `Denied`  ||  `Fail (no shared cipher)`  ||
   ||  AES-256-CBC  ||=  -  =||  `Denied`  ||  '''[[span(style=color: #007000, OK. AES-256-CBC )]]'''  ||
   ||  BF-CBC       ||=  -  =||  `Denied`  ||  `Fail (no shared cipher)`  ||
+||  AES-256-CBC  ||  No   ||
+    * __Client version 2.5__
+  ||  `--cipher`   ||=  `--data-ciphers`  =||=  `-fallback`  =||  NCP  ||  Connection  ||
+  ||    -          ||=  -  =||=  -  =||  Partial  ||  `Fail (no shared cipher)`  ||
+  ||  -       ||=  AES-256-GCM: \\ AES-128-GCM: \\ AES-256-CBC:BF-CBC   =||=  -  =||  Partial  ||  '''[[span(style=color: #007000, OK. AES-256-CBC )]]'''  ||
+  ||  AES-256-CBC  ||=  -  =||=  -  =||  Partial  ||  '''[[span(style=color: #007000, OK. AES-256-CBC )]]'''  ||
+    * __Client version 2.4__
+  ||  `--cipher`   ||=  `--ncp-ciphers`  =||  NCP  ||  Connection  ||
+  ||  -            ||=  -  =||  Partial  ||  `Fail (no shared cipher)`  ||
+  ||  AES-256-CBC  ||=  -  =||  Partial  ||  '''[[span(style=color: #007000, OK. AES-256-CBC )]]'''  ||
+  ||  BF-CBC       ||=  -  =||  Partial  ||  `Fail (no shared cipher)`  ||
     * __Client version 2.3__
 …
     * __Client version 2.5__
   ||  `--cipher`   ||=  `--data-ciphers`  =||=  `-fallback`  =||  NCP  ||  Connection  ||
   ||  -       ||=  -  =||=  -  =||  `Denied`  ||  `Fail (no shared cipher)`  ||
   ||  AES-256-CBC  ||=  -  =||=  -  =||  `Denied`  ||  `Fail (no shared cipher)`  ||
   ||  BF-CBC  ||=  -  =||=  -  =||  `Denied`  ||  `Fail (no shared cipher)`  ||
   ||    -          ||=  -  =||=  BF-CBC  =||  `Denied`  ||  ''[[span(style=color: #806000, **Weak** BF-CBC )]]''  ||
+  ||  -       ||=  -  =||=  -  =||  Partial  ||  `Fail (no shared cipher)`  ||
+  ||  AES-256-CBC  ||=  -  =||=  -  =||  Partial  ||  `Fail (no shared cipher)`  ||
+  ||  BF-CBC  ||=  -  =||=  -  =||  Partial  ||  `Fail (no shared cipher)`  ||
+  ||    -          ||=  -  =||=  BF-CBC  =||  Partial  ||  ''[[span(style=color: #806000, **Weak** BF-CBC )]]''  ||
 === Server version 2.3 built with `--enable-small`
 …
     * __Client version 2.5__
   ||  `--cipher`   ||=  `--data-ciphers`  =||=  `-fallback`  =||  NCP  ||  Connection  ||
   ||    -          ||=  -  =||=  -  =||  `Denied`  ||  `Fail (no shared cipher)`  ||
   ||  AES-256-CBC       ||=  -  =||=  -  =||  `Denied`  ||  `Fail (no shared cipher)`  ||
   ||  BF-CBC  ||=  -  =||=  -  =||  `Denied`  ||  `Fail (no shared cipher)`  ||
   ||  -  ||=  -  =||=  AES-256-CBC  =||  `Denied`  ||  '''[[span(style=color: #007000, OK. AES-256-CBC )]]'''  ||
+  ||    -          ||=  -  =||=  -  =||  Partial  ||  `Fail (no shared cipher)`  ||
+  ||  AES-256-CBC       ||=  -  =||=  -  =||  Partial  ||  `Fail (no shared cipher)`  ||
+  ||  BF-CBC  ||=  -  =||=  -  =||  Partial  ||  `Fail (no shared cipher)`  ||
+  ||  -  ||=  -  =||=  AES-256-CBC  =||  Partial  ||  '''[[span(style=color: #007000, OK. AES-256-CBC )]]'''  ||
 === Client version 2.3 built with `--enable-small`
 …
     * __Server version 2.5__
   ||  `--cipher`   ||=  `--data-ciphers`  =||=  `-fallback`  =||  NCP  ||  Connection  ||
   ||  -  ||=  -  =||=  -  =||  `Denied`  ||  `Fail (no shared cipher)`  ||
   ||  AES-256-CBC  ||=  -  =||=  -  =||  `Denied`  ||  `Fail (no shared cipher)`  ||
   ||  BF-CBC       ||=  -  =||=  -  =||  `Denied`  ||  `Fail (no shared cipher)`  ||
   ||    -          ||=  -  =||=  BF-CBC  =||  `Denied`  ||  ''[[span(style=color: #806000, **Weak** BF-CBC )]]''  ||
+  ||  -  ||=  -  =||=  -  =||  Partial  ||  `Fail (no shared cipher)`  ||
+  ||  AES-256-CBC  ||=  -  =||=  -  =||  Partial  ||  `Fail (no shared cipher)`  ||
+  ||  BF-CBC       ||=  -  =||=  -  =||  Partial  ||  `Fail (no shared cipher)`  ||
+  ||    -          ||=  -  =||=  BF-CBC  =||  Partial  ||  ''[[span(style=color: #806000, **Weak** BF-CBC )]]''  ||
 === Client version 2.3 built with `--enable-small`
 …
     * __Server version 2.5__
   ||  `--cipher`   ||=  `--data-ciphers`  =||=  `-fallback`  =||  NCP  ||  Connection  ||
   ||  -  ||=  -  =||=  -  =||  `Denied`  ||  `Fail (no shared cipher)`  ||
   ||  AES-256-CBC  ||=  -  =||=  -  =||  `Denied`  ||  `Fail (no shared cipher)`  ||
   ||  BF-CBC       ||=  -  =||=  -  =||  `Denied`  ||  `Fail (no shared cipher)`  ||
   ||    -          ||=  -  =||=  AES-256-CBC  =||  `Denied`  ||  '''[[span(style=color: #007000, OK. AES-256-CBC )]]'''  ||
+  ||  -  ||=  -  =||=  -  =||  Partial  ||  `Fail (no shared cipher)`  ||
+  ||  AES-256-CBC  ||=  -  =||=  -  =||  Partial  ||  `Fail (no shared cipher)`  ||
+  ||  BF-CBC       ||=  -  =||=  -  =||  Partial  ||  `Fail (no shared cipher)`  ||
+  ||    -          ||=  -  =||=  AES-256-CBC  =||  Partial  ||  '''[[span(style=color: #007000, OK. AES-256-CBC )]]'''  ||