о связи сервер / сервер S2S:
1-й сервер имеет Apache .conf:
SSLProtocol all -SSLv3 -TLSv1 -TLSv1.1
SSLCipherSuite ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256
SSLHonorCipherOrder on
итак, только TLS1.2, взятый из генератора Mozilla SSL (современный)
второй сервер использует шифры TLS1.0, TLS1.1, TLS1.2 и CBC в предпочтительном порядке
например. для TLS1.2
TLS_RSA_WITH_AES_256_CBC_SHA256 (0x3d) 256
TLS_RSA_WITH_AES_128_CBC_SHA256 (0x3c) 128
TLS_RSA_WITH_AES_128_CBC_SHA (0x2f)
Вопросы такие:
1) является 1-м SSLHonorCipherOrder on
вопрос? Если оба включили, как выбирается порядок?
2) сначала рукопожатие извлекает протокол (ы), используемый обоими серверами, чтобы выбрать правильный?
3) почему в журнале сервера нет ошибок, даже если он не должен работать (я думаю ...)?
Спасибо
Для вопросов 1 и 2 не должно быть проблем, если эта директива включена. Это приказ apache, который говорит: используйте предпочтительные шифры в этом порядке, будет использоваться первое доступное совпадение. Теоретически вы не должны проходить мимо TLS_RSA_WITH_AES_256_CBC_SHA256.
Но если по какой-то причине рукопожатие не удалось, можно было использовать следующий шифр. Я не думаю, что вы должны получать для этого какие-либо ошибки журнала.