Я столкнулся с чем-то странным с нашим балансировщиком нагрузки, я специально отключил TLSv1, но с помощью теста Qualsys SSL Labs он показывает, что TLSv1 все еще активен . В ближайшее время, пока мы не завершим длительную миграцию, я застрял на HAProxy 1.4 (который не выполняет завершение SSL, поэтому он настроен на передачу Apache), Apache 2.2.15-31
. Мы также используем mod_ssl 2.2.15-31
, и все это находится на CentOS 6.5
. Я пытаюсь сделать это, чтобы мы не нарушили наше соответствие PCI в конце месяца.
Я использую следующие настройки SSL в нашем виртуальном хосте ...
SSLEngine on
SSLProtocol -all +TLSv1.1 +TLSv1.2
SSLCompression Off
SSLHonorCipherOrder on
SSLCipherSuite EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH
Но ответ Qualsys таков: всегда ...
TLS 1.2 Yes
TLS 1.1 Yes
TLS 1.0 Yes
SSL 3 No
SSL 2 No
Почему TLS 1.0 все еще активен, когда я отключил его и включил только v1.1 и v1.2?
Похоже на ошибку в Apache, которая не позволяет указать TLS 1.1 и 1.2. Смотрите этот ответ и соответствующий поток