我在负载均衡器上遇到了一些奇怪的事情,我专门禁用了 TLSv1,但使用Qualsys SSL 实验室测试,这表明 TLSv1 仍然处于活动状态。在接下来的一段时间内,直到我们完成长时间的迁移,我都停留在 HAProxy 1.4(它不执行 SSL 终止,因此配置为移交给 Apache),。Apache 2.2.15-31
我们还在使用mod_ssl 2.2.15-31
,并且它全部放在 上CentOS 6.5
。我试图这样做,这样我们就不会在月底破坏我们的 PCI 合规性。
我在我们的虚拟主机中使用以下 SSL 设置...
SSLEngine on
SSLProtocol -all +TLSv1.1 +TLSv1.2
SSLCompression Off
SSLHonorCipherOrder on
SSLCipherSuite EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH
但 Qualsys 的回复总是……
TLS 1.2 Yes
TLS 1.1 Yes
TLS 1.0 Yes
SSL 3 No
SSL 2 No
为什么我已禁用 TLS 1.0 并仅启用 v1.1 和 v1.2,但 TLS 1.0 仍然处于活动状态?