Я пытаюсь настроить Apache Trafficserver в качестве обратного прокси. (Debian Stretch, ATS 7.0.0 (также пробовал 7.1.2 из backports), openssl 1.1.0f)
Пока все шло хорошо, пока я не занялся настройкой TLS. Я добавил порт 443 для SSL в records.config, установил пути для сертификатов, создал локальный тестовый сертификат, который я определил по умолчанию в ssl_multicert.config, а также попытался поиграть с cipher_list.
Но независимо от того, какой cipher_list я использую (закомментировано #, значение по умолчанию из пакета, только один шифр, NULL для всех шифров), сервер трафика не дает ни одного шифра в ответе на рукопожатие. Firefox дает "отсутствие перекрытия шифров", как следствие, sslscan дает следующий результат:
user@host:~$ sslscan https://testats.mycompany.com
Version: 1.11.5
OpenSSL 1.0.2l 25 May 2017
OpenSSL version does not support SSLv2
SSLv2 ciphers will not be detected
OpenSSL version does not support SSLv3
SSLv3 ciphers will not be detected
Testing SSL server testats.mycompany.com on port 443
TLS renegotiation:
Session renegotiation not supported
TLS Compression:
OpenSSL version does not support compression
Rebuild with zlib1g-dev package for zlib support
Heartbleed:
TLS 1.2 not vulnerable to heartbleed
TLS 1.1 not vulnerable to heartbleed
TLS 1.0 not vulnerable to heartbleed
Supported Server Cipher(s):
user@host:~$
Тест с sslscan на исходном веб-сервере, на который ATS должен переназначить, работает нормально.
Любые идеи?