如何对 Apache/IBM HTTP Server 上的 TLS 1.2 连接进行优先级排序?

如何对 Apache/IBM HTTP Server 上的 TLS 1.2 连接进行优先级排序?

我有一台运行 IBM HTTP Server 版本 8.5.5.0 的 IBM AIX 计算机,最近配置为使用 TLS 1.2。根据公司政策,我的服务器应该使用 TLS 1.2,但出于兼容性考虑,我们还启用了 TLS 1.1。使用 OpenSSL 进行测试openssl s_client -connect ihs8server.example.com:443 -tls1_2表明,服务器正在正确接受 TLS 1.2 连接。但是,当我从浏览器(Firefox ESR 38.7.0)连接时,连接安全信息对话框显示我已获得 TLS 1.1 连接。

有没有办法将 IBM HTTP Server(或 Apache,因为 IHS 非常相似)配置为默认使用 TLS 1.2,但在客户端不支持的情况下允许通过 TLS 1.1 进行连接的选项?

答案1

在 Apache 中...

您可以删除您不想支持的协议。

SSLProtocol all -SSLv2 -SSLv3

您可以根据自己的喜好创建密码,并设置系统按照该顺序遵循/协商。

SSLHonorCipherOrder     on

这是一款出色的 SSL 密码生成器,始终使用最新的密码。来自Mozilla

答案2

IBM 使用自己的 mod_ibm_ssl,它与 apache 和 openssl 不完全兼容。因此您需要按特定顺序添加 SSLCipherSpec。

查看此幻灯片的第 30 张:https://www.slideshare.net/mobile/ChristophStoettner/sutol16-ibm-connections-deployment-best-practices?qid=954c5951-3d33-41ca-862c-33db5174feaf&v=&b=&from_search=1

相关内容