У меня есть компьютер IBM AIX, на котором запущен IBM HTTP Server версии 8.5.5.0, который недавно был настроен для использования TLS 1.2. Согласно корпоративной политике мой сервер должен использовать TLS 1.2, но для совместимости у нас также включен TLS 1.1. Тестирование с OpenSSL с использованием openssl s_client -connect ihs8server.example.com:443 -tls1_2
показывает, что сервер правильно принимает соединения TLS 1.2. Однако, когда я подключаюсь из своего браузера (Firefox ESR 38.7.0), в диалоговом окне с информацией о безопасности подключения отображается сообщение TLS 1.1.
Есть ли способ настроить IBM HTTP Server (или Apache, если на то пошло, поскольку IHS очень похож) по умолчанию на TLS 1.2, но разрешить возможность подключения через TLS 1.1 в случае, если клиент его не поддерживает?
В Apache ...
Вы можете удалить протоколы, которые не хотите поддерживать.
SSLProtocol all -SSLv2 -SSLv3
Вы можете создавать шифры на основе ваших предпочтений и настраивать систему, чтобы следовать им / вести переговоры в этом порядке.
SSLHonorCipherOrder on
Вот хороший генератор шифров SSL, который всегда в курсе последних шифров. Из Mozilla.
IBM использует собственный mod_ibm_ssl, который не на 100% совместим с apache и openssl. Поэтому вам нужно добавить SSLCipherSpec в определенном порядке.
Посмотрите слайд 30 этой колоды слайдов: https://www.slideshare.net/mobile/ChristophStoettner/sutol16-ibm-connections-deployment-best-practices?qid=954c5951-3d33-41ca-862c-33db5174feaf&v=&b=&from_search=1