[...] TLS_RSA_WITH_RC4_128_MD5 [...] чрезвычайно распространена среди коммерческих серверов. Основные причины 1) это по умолчанию предпочтительным шифр в большинстве версий IIS, 2) эти два алгоритм является абсолютно быстрыми и наименее ресурсоемким.

Однако, поскольку, как известно, cryptoanalytic нападения как RC4 и MD5, это CipherSuite как известно, сообщается как "слабый" некоторые pentesting инструментов и команды.

Это не верно, или, по крайней мере, не точны, так как конкретного использования RC4 и MD5 - в SSLv3 с 128 битным ключом - не имеет известных и рабочих атак. Это одна из причин, почему PCI-DSS v1.2 в настоящее время не перечисляют какие-либо конкретные алгоритмы SSL, но вместо этого просто говорит, что вы должны использовать "сильный" из них. И широко распространенное использование TLS_RSA_WITH_RC4_128_MD5 среди финансовых организаций, кажется, подтверждает интерпретацию, что она по-прежнему считается сильным CipherSuite.

С другой стороны, NIST SP 800-52 не позволяет ни RC4 или MD5, потому что они не алгоритмы FIPS утвержденных, но с одним исключением - подключение в режиме клиента для внешних, коммерческих систем с этим конкретным CipherSuite включен. Который, кажется, установить баланс вполне даже, потому что SP только обязательным для американских федеральных агентств.

А также...

Есть две причины, почему новые атаки не распространяются на RC4 на основе SSL. Во-первых, SSL генерирует ключи шифрования, которые он использует для RC4 путем хеширования (с использованием как MD5 и SHA1), так что различные сеансы имеют несвязанные ключи. Во-вторых, SSL повторно не ключ RC4 для каждого пакета, но использует состояние алгоритма RC4 с конца одного пакета, чтобы начать шифрование следующего пакета. Последние методы Fluhrer, Mantis и Шамира, таким образом, не применяются к SSL.