我有一台运行IBM HTTP Server V8.5.5.0的IBM AIX机器,它最近被configuration为使用TLS 1.2。 根据公司政策我的服务器应该使用TLS 1.2,但出于兼容性的目的,我们也启用了TLS 1.1。 使用OpenSSL使用openssl s_client -connect ihs8server.example.com:443 -tls1_2显示服务器正在正确接受TLS 1.2连接。 但是,当我从我的浏览器(Firefox ESR 38.7.0)连接,连接安全信息对话框说我有一个TLS 1.1连接。
有什么办法可以configurationIBM HTTP Server(或Apache,因为IHS非常相似),默认为TLS 1.2,但是允许在客户端不支持的情况下通过TLS 1.1连接吗?
在Apache …
您可以删除您不想支持的协议。
SSLProtocol all -SSLv2 -SSLv3
您可以根据您的偏好创build密码,并将系统设置为按照该顺序进行跟踪/协商。
SSLHonorCipherOrder on
这里有一个很好的SSL密码生成器,它始终与最新的密码保持一致。 来自Mozilla 。
IBM使用它自己的mod_ibm_ssl,它与apache和openssl不是100%兼容的。 所以你需要按照特定的顺序添加SSLCipherSpec。
查看此幻灯片的幻灯片30: https : //www.slideshare.net/mobile/ChristophStoettner/sutol16-ibm-connections-deployment-best-practices?qid=954c5951-3d33-41ca- 862c-33db5174feaf &v=&b=&from_search= 1