Назад | Перейти на главную страницу

Как установить приоритет соединений TLS 1.2 на Apache / IBM HTTP Server?

У меня есть компьютер IBM AIX, на котором запущен IBM HTTP Server версии 8.5.5.0, который недавно был настроен для использования TLS 1.2. Согласно корпоративной политике мой сервер должен использовать TLS 1.2, но для совместимости у нас также включен TLS 1.1. Тестирование с OpenSSL с использованием openssl s_client -connect ihs8server.example.com:443 -tls1_2 показывает, что сервер правильно принимает соединения TLS 1.2. Однако, когда я подключаюсь из своего браузера (Firefox ESR 38.7.0), в диалоговом окне с информацией о безопасности подключения отображается сообщение TLS 1.1.

Есть ли способ настроить IBM HTTP Server (или Apache, если на то пошло, поскольку IHS очень похож) по умолчанию на TLS 1.2, но разрешить возможность подключения через TLS 1.1 в случае, если клиент его не поддерживает?

В Apache ...

Вы можете удалить протоколы, которые не хотите поддерживать.

SSLProtocol all -SSLv2 -SSLv3

Вы можете создавать шифры на основе ваших предпочтений и настраивать систему, чтобы следовать им / вести переговоры в этом порядке.

SSLHonorCipherOrder     on

Вот хороший генератор шифров SSL, который всегда в курсе последних шифров. Из Mozilla.

IBM использует собственный mod_ibm_ssl, который не на 100% совместим с apache и openssl. Поэтому вам нужно добавить SSLCipherSpec в определенном порядке.

Посмотрите слайд 30 этой колоды слайдов: https://www.slideshare.net/mobile/ChristophStoettner/sutol16-ibm-connections-deployment-best-practices?qid=954c5951-3d33-41ca-862c-33db5174feaf&v=&b=&from_search=1