Como eu priorizo conexões TLS 1.2 no Apache / IBM HTTP Server?

2

Eu tenho uma máquina IBM AIX executando o IBM HTTP Server versão 8.5.5.0 que foi recentemente configurado para usar o TLS 1.2. Por política corporativa, o meu servidor deve usar o TLS 1.2, mas para fins de compatibilidade, também temos o TLS 1.1 ativado. O teste com o OpenSSL usando openssl s_client -connect ihs8server.example.com:443 -tls1_2 revela que o servidor está aceitando as conexões TLS 1.2 corretamente. No entanto, quando eu conecto do meu navegador (Firefox ESR 38.7.0), a caixa de diálogo de informações de segurança da conexão diz que eu recebi uma conexão TLS 1.1.

Existe alguma maneira de configurar o IBM HTTP Server (ou Apache para esse assunto, já que o IHS é muito semelhante) ao padrão TLS 1.2, mas permite a opção de conexão por TLS 1.1 no caso de um cliente não suportar?

    
por RAKK 29.04.2016 / 19:10

2 respostas

3

No Apache ...

Você pode remover os protocolos que não deseja suportar.

SSLProtocol all -SSLv2 -SSLv3

Você pode criar criptogramas com base em sua preferência e configurar o sistema para segui-lo / negociar nessa ordem.

SSLHonorCipherOrder     on

Aqui está um bom gerador de criptografia SSL que está sempre atualizado com as mais recentes Cifras. De Mozilla .

    
por 29.04.2016 / 19:20
0

A IBM usa seu próprio mod_ibm_ssl, que não é 100% compatível com o apache e o openssl. Então você precisa adicionar o SSLCipherSpec em uma ordem específica.

Verifique o slide 30 deste slide: link

    
por 21.12.2016 / 22:53