У меня есть kvm-сервер, хост Centos 6.6 с гостями 6.6. Мы запускаем веб-приложение на основе php, которое использует аутентификацию LDAP для наших клиентов. Мы только что переместили клиента в эту настройку, и они сообщают, что весь трафик ldap отправляется с помощью TLS v1.1, а не TLS v1.2, как это было раньше. Я проверил, что версии OpenSSL и OpenLDAP одинаковы для старой и новой. Я везде копался и, кажется, нашел причину. Все виртуальные машины находятся на частных IP-адресах и совместно используют общедоступный IP-адрес через правила NAT и директивы восходящего потока Nginx.
У кого-нибудь есть идеи, почему трафик вдруг стал v1.1?
Связанные версии OpenSSL:
libssl.so.10 => /usr/lib64/libssl.so.10libssl.so.10 => /usr/lib64/libssl.so.10built with OpenSSL 1.0.1e-fipsВ нашем случае ответ заключался в том, чтобы заставить php использовать tls v1.2 в php.ini файл:
crypto_method = STREAM_CRYPTO_METHOD_TLSv1_2_SERVER