L'information que vous recherchez est facilement disponible dans Chrome (v35). Il suffit de cliquer sur l'icône du cadenas dans la barre d'adresse du navigateur pour obtenir les détails de la suite de chiffrement.
Mais vous avez demandé à propos de Safari. En cliquant sur l'icône de verrouillage dans Safari 7.0.4, on n'obtient qu'une fraction de ce que l'on obtient dans Chrome. J'ai pensé qu'il y avait peut-être plus de possibilités dans les outils de développement de Safari, mais je n'ai rien trouvé.
Ce qui a marché pour moi, c'est d'utiliser un inspecteur de paquets réseau (j'ai utilisé WireShark installé par Homebrew ).
WireShark vous permettra d'examiner tout le trafic réseau, y compris le message " Client Hello ", dans lequel Safari énumère les suites de chiffrement qu'il prend en charge (la liste compte 37 éléments et correspond à la liste de Qualsys que vous avez mentionnée).
Un peu plus bas, vous pouvez voir le message "Server Hello". Dans cette réponse, le serveur répondra avec le nom de la meilleure suite de chiffrement qu'ils partagent tous les deux.
La capture d'écran ci-dessous provient de WireShark. J'ai configuré un filtre pour ne montrer que les paquets à destination et en provenance des adresses IP correspondant à 'www.google.com'. J'ai ensuite lancé l'enregistrement, puis chargé la page d'accueil de Google sous https dans Safari.
Vous pouvez voir que la suite de chiffrement négociée entre google et Safari est TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA .
![WireShark screen capture]()
Plus bas dans la transcription (non montrée), j'ai trouvé des paquets relatifs à "Change Cipher Spec", mais cela ne semble pas (d'après ce que je peux dire) changer la suite sélectionnée.
