即使在 IE9 / Windows7 中禁用 TLS1.2，Apache 服务器也会为所有请求选择 TLS1.2

2024-5-30 • tag-icon

即使在 IE9 / Windows7 中禁用 TLS1.2，Apache 服务器也会为所有请求选择 TLS1.2

以下是我的 apache ssl 协议和密码配置

SSLEngine on  
SSLProtocol all -SSLv2  
SSLCipherSuite HIGH:MEDIUM:-SSLv2:!ADH

在 IE9 上测试时，如果在浏览器设置中选中 TLS1.2 复选框，则请求的 SSL 协议和密码套件在 ssl_request_log 中记录为 TLSv1.2 DHE-RSA-AES256-GCM-SHA384。

DHE-RSA-AES256-GCM-SHA384当我在 IE9 中禁用 TLS1.2 时，仍然记录相同的协议 TLSv1.2 和密码。

如果我启用/禁用 TLS1.2，则所有请求都会使用相同的协议和密码。

当启用和禁用 TLS1.2 时，IE 如何传达支持的密码？为什么即使禁用 TLS1.2 也会使用相同的密码/协议？

编辑

TLS1.2 已启用

发现与 SSLv3 兼容的 ClientHello 握手。Fiddler 提取了以下参数。

Major Version: 3
Minor Version: 3
Random: 55 53 44 E1 A0 D5 30 4E EF 6F 2E 83 79 63 70 07 DC 58 3C F4 C1 D6 6E 44 F0 83 6C 2F 6C 6E D2 06
SessionID: 00 27 00 00 56 EC 3A 1F C1 CF D8 D2 F5 D1 C8 78 B6 1C AE 6C 9C 1C 38 38 1D 1C D7 BF D1 CB B5 39
Ciphers: 
    [C028]  TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
    [C027]  TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
    [C014]  TLS1_CK_ECDHE_RSA_WITH_AES_256_CBC_SHA
    [C013]  TLS1_CK_ECDHE_RSA_WITH_AES_128_CBC_SHA
    [009F]  Unrecognized cipher - 
    [009E]  Unrecognized cipher - 
    [009D]  Unrecognized cipher - 
    [009C]  Unrecognized cipher - 
    [003D]  TLS_RSA_WITH_AES_256_CBC_SHA256
    [003C]  TLS_RSA_WITH_AES_128_CBC_SHA256
    [0035]  TLS_RSA_AES_256_SHA
    [002F]  TLS_RSA_AES_128_SHA
    [C02C]  TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
    [C02B]  TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
    [C024]  TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
    [C023]  TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
    [C00A]  TLS1_CK_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
    [C009]  TLS1_CK_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
    [006A]  TLS_DHE_DSS_WITH_AES_256_CBC_SHA256
    [0040]  TLS_DHE_DSS_WITH_AES_128_CBC_SHA256
    [0038]  TLS_DHE_DSS_WITH_AES_256_SHA
    [0032]  TLS_DHE_DSS_WITH_AES_128_SHA
    [000A]  SSL_RSA_WITH_3DES_EDE_SHA
    [0013]  SSL_DHE_DSS_WITH_3DES_EDE_SHA
    [0005]  SSL_RSA_WITH_RC4_128_SHA
    [0004]  SSL_RSA_WITH_RC4_128_MD5

Compression: 
    [00]    NO_COMPRESSION

Extensions: 
    renegotiation_info  00
    status_request  01 00 00 00 00
    elliptic_curves 00 06 00 17 00 18 00 19
    ec_point_formats    01 00
    signature_algorithms    00 12 04 01 05 01 06 01 02 01 04 03 05 03 06 03 02 03 02 02

TLS1.2 已禁用

发现与 SSLv3 兼容的 ClientHello 握手。Fiddler 提取了以下参数。

Major Version: 3
Minor Version: 2
Random: 55 53 45 D5 DA 1E 9D FC 6B C6 09 40 C4 E3 83 9C 38 3D 90 88 93 9C 4F 8B 97 6A BB 23 A6 60 95 12
SessionID: empty
Ciphers: 
    [C014]  TLS1_CK_ECDHE_RSA_WITH_AES_256_CBC_SHA
    [C013]  TLS1_CK_ECDHE_RSA_WITH_AES_128_CBC_SHA
    [0035]  TLS_RSA_AES_256_SHA
    [002F]  TLS_RSA_AES_128_SHA
    [C00A]  TLS1_CK_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
    [C009]  TLS1_CK_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
    [0038]  TLS_DHE_DSS_WITH_AES_256_SHA
    [0032]  TLS_DHE_DSS_WITH_AES_128_SHA
    [000A]  SSL_RSA_WITH_3DES_EDE_SHA
    [0013]  SSL_DHE_DSS_WITH_3DES_EDE_SHA
    [0005]  SSL_RSA_WITH_RC4_128_SHA
    [0004]  SSL_RSA_WITH_RC4_128_MD5

Compression: 
    [00]    NO_COMPRESSION

Extensions: 
    renegotiation_info  00
    status_request  01 00 00 00 00
    elliptic_curves 00 06 00 17 00 18 00 19
    ec_point_formats    01 00

我无法理解这些密码套件并得出结论。

相关内容