Eu tenho uma máquina IBM AIX executando o IBM HTTP Server versão 8.5.5.0 que foi recentemente configurado para usar o TLS 1.2. Por política corporativa, o meu servidor deve usar o TLS 1.2, mas para fins de compatibilidade, também temos o TLS 1.1 ativado. O teste com o OpenSSL usando openssl s_client -connect ihs8server.example.com:443 -tls1_2 revela que o servidor está aceitando as conexões TLS 1.2 corretamente. No entanto, quando eu conecto do meu navegador (Firefox ESR 38.7.0), a caixa de diálogo de informações de segurança da conexão diz que eu recebi uma conexão TLS 1.1.
Existe alguma maneira de configurar o IBM HTTP Server (ou Apache para esse assunto, já que o IHS é muito semelhante) ao padrão TLS 1.2, mas permite a opção de conexão por TLS 1.1 no caso de um cliente não suportar?
No Apache ...
Você pode remover os protocolos que não deseja suportar.
SSLProtocol all -SSLv2 -SSLv3
Você pode criar criptogramas com base em sua preferência e configurar o sistema para segui-lo / negociar nessa ordem.
SSLHonorCipherOrder on
Aqui está um bom gerador de criptografia SSL que está sempre atualizado com as mais recentes Cifras. De Mozilla .
A IBM usa seu próprio mod_ibm_ssl, que não é 100% compatível com o apache e o openssl. Então você precisa adicionar o SSLCipherSpec em uma ordem específica.
Verifique o slide 30 deste slide: link
Tags tls apache-2.4 aix