У нас в DataPower отключен SSLv3. Я побежал sslscan чтобы проверить, какие все комплекты шифров могут использоваться в настоящее время во время установления связи SSL.
В выводе sslscan я обнаружил, что принимаются нижеприведенные наборы шифров.
TLSv1 256 bits AES256-SHA
TLSv1 128 bits AES128-SHA
TLSv1 168 bits DES-CBC3-SHA
TLSv1 128 bits RC4-SHA
Preferred Server Cipher: TLSv1 256 bits AES256-SHA
Затем я отключил TLS1.0 на DataPower (сервере) и запустил sslscan очередной раз. Результат оказался не таким, как я ожидал. Все шифрокомплекты, включая те, которые были приняты при рукопожатии по TLS1.0, отклоняются.
Как я могу узнать, какой шифр будет принимать мой сервер, если я отключу TLS1.0?
Ваш вывод ссылается только на TLS 1.0, и его отключение отклоняет эти отключенные варианты TLS 1.0, как и должно. Для получения информации о поддержке TLS 1.1 и TLS 1.2, а также о настройке наборов шифров см. Справочные материалы и документацию DataPower. Начните с проверки версии вашей прошивки и правильного обновления, чтобы лучше поддерживать последние конфигурации TLS.
Вот является справочным материалом для DataPower, поддерживающего TSL 1.1 и TLS 1.2 по умолчанию в версии прошивки 6. Ваша текущая версия может не поддерживать ничего, кроме TLS 1.0, и не позволяет еще настраивать TLS 1.1 и TLS 1.2. http://www-01.ibm.com/support/docview.wss?uid=swg21578730 ссылается на определенные криптографические конфигурации, чтобы получить достаточно подробную информацию для решения проблем в каждой версии TLS, например beast.
После обновления и настройки повторно запустите sslscan или альтернативы, если вы хотите сравнить с sslscan, например testssl.sh.