我有一台运行 IBM HTTP Server 版本 8.5.5.0 的 IBM AIX 计算机,最近配置为使用 TLS 1.2。根据公司政策,我的服务器应该使用 TLS 1.2,但出于兼容性考虑,我们还启用了 TLS 1.1。使用 OpenSSL 进行测试openssl s_client -connect ihs8server.example.com:443 -tls1_2
表明,服务器正在正确接受 TLS 1.2 连接。但是,当我从浏览器(Firefox ESR 38.7.0)连接时,连接安全信息对话框显示我已获得 TLS 1.1 连接。
有没有办法将 IBM HTTP Server(或 Apache,因为 IHS 非常相似)配置为默认使用 TLS 1.2,但在客户端不支持的情况下允许通过 TLS 1.1 进行连接的选项?
答案1
在 Apache 中...
您可以删除您不想支持的协议。
SSLProtocol all -SSLv2 -SSLv3
您可以根据自己的喜好创建密码,并设置系统按照该顺序遵循/协商。
SSLHonorCipherOrder on
这是一款出色的 SSL 密码生成器,始终使用最新的密码。来自Mozilla。
答案2
IBM 使用自己的 mod_ibm_ssl,它与 apache 和 openssl 不完全兼容。因此您需要按特定顺序添加 SSLCipherSpec。