Pour cette question on doit répondre par rapport à tous les paquets de TLS ( client hello server hello , ... ) ou juste pour les paquets avec les certificats , server key exchange ?
Et aussi est ce bien dans le champ "cipher_suites" qu'il faut chercher l'algorithme?
C'est bien le champ cipher suite qui indique le type de chiffrement utilisé. En TLS1.3, il n'y a que trois choix, en 1.2, il y en a bcp plus. Focalisez-vous sur les connexions longues qui échangent bcp de données et comparer ce qu'il se passe quand vous allez vers un serveur et l'échange local lorsqu'il est supporté par votre application