Estou tentando configurar o Apache Trafficserver como um proxy reverso. (Debian Stretch, ATS 7.0.0 (também tentei 7.1.2 de backports), openssl 1.1.0f)
Tudo correu bem até agora, até que deparei com a configuração do TLS. Eu adicionei a porta 443 para SSL em records.config, configurei os caminhos de certificados, criei um certificado de teste local, que defini como padrão em ssl_multicert.config e também tentei mexer com cipher_list.
Mas não importa qual cipher_list eu use (comentado com um #, valor padrão do pacote, apenas uma cifra, NULL para todas as cifras), o trafficserver não fornece uma única cifra na resposta do handshake. O Firefox dá uma "sem cifra sobreposta" como conseqüência, o sslscan fornece a seguinte saída:
user@host:~$ sslscan https://testats.mycompany.com
Version: 1.11.5
OpenSSL 1.0.2l 25 May 2017
OpenSSL version does not support SSLv2
SSLv2 ciphers will not be detected
OpenSSL version does not support SSLv3
SSLv3 ciphers will not be detected
Testing SSL server testats.mycompany.com on port 443
TLS renegotiation:
Session renegotiation not supported
TLS Compression:
OpenSSL version does not support compression
Rebuild with zlib1g-dev package for zlib support
Heartbleed:
TLS 1.2 not vulnerable to heartbleed
TLS 1.1 not vulnerable to heartbleed
TLS 1.0 not vulnerable to heartbleed
Supported Server Cipher(s):
user@host:~$
Um teste com sslscan contra o servidor web de origem, para o qual o ATS deve ser remapeado, está funcionando bem.
Alguma idéia?