Isso parece ser um bug no Apache que não permite que você especifique o TLS 1.1 e 1.2. Veja esta resposta e o tópico relacionado
Estou experimentando algo estranho em nosso balanceador de carga. Desativei especificamente o TLSv1, mas usei os Qualsys SSL Labs teste, está indicando que o TLSv1 ainda está ativo. Por pouco tempo até concluirmos uma migração longa, eu estou preso no HAProxy 1.4 (que não faz terminação SSL, então está configurado para entregar para o Apache), Apache 2.2.15-31 . Também estamos usando mod_ssl 2.2.15-31 e está tudo em CentOS 6.5 . Estou tentando fazer isso para que não quebremos nossa conformidade com PCI no final do mês.
Estou usando as seguintes configurações de SSL em nosso vhost ...
SSLEngine on
SSLProtocol -all +TLSv1.1 +TLSv1.2
SSLCompression Off
SSLHonorCipherOrder on
SSLCipherSuite EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH
Mas a resposta da Qualsys é sempre ...
TLS 1.2 Yes
TLS 1.1 Yes
TLS 1.0 Yes
SSL 3 No
SSL 2 No
Por que o TLS 1.0 ainda está ativo quando eu o desativei e só habilitei v1.1 e v1.2?
Isso parece ser um bug no Apache que não permite que você especifique o TLS 1.1 e 1.2. Veja esta resposta e o tópico relacionado
Tags tls openssl apache-2.2 centos6