Нельзя просто взять и подключить TLSv1.2
Разбирался с одним интересным жучком, который был завязан на подключение к web-серверу с TLSv1.2 и только им
Так вот, почему-то, в части доступных мне nix- систем (да, не свежайших, но все же) нельзя просто взять и включить доступ только по TLSv1.2.
Или TLSv1.2 и TLSv1.1 вместе - или только TLSv1 без 1.2 и 1.1 (ту чаще всего от старости ОСей и либы OpenSSL, не спорю).
т.е. SSLProtocol All -SSLv2 -SSLv3 - работает
SSLProtocol All -SSLv2 -SSLv3 -TLSv1 - работает много где
SSLProtocol All -SSLv2 -SSLv3 -TLSv1 -TLSv1.1 - посылает к неверному .conf
Starting httpd: Syntax error on line 93 of /etc/httpd/conf.d/ssl.conf:
SSLProtocol: Illegal protocol 'TLSv1.1'
В итоге, намучившись с зоопарком виртуалок с апачем разной степени древности, поднял мате с nginx - и все заработало "из коробки".
Хотя - "disabled TLS1.2 on the client side, not on the server side. And this is probably done because it broke things with older F5 devices."
В общем - занятно, погрузился в красноглазый мир, даже багтрекеры по этой теме полистал.
P.S. в настройке аналогичной конфигурации на iis даже не лез, там ещё мутнее, судя по манам.
P.P.S. возможно, косяк мой - апач-то поддерживающий TLS 1.1 был, а вот OpenSSL не смотрел, мог и 1.0.0. оставить
а, не, я таки лоханулся httpd version 2.2.23 and later, а я древнючий 2.12 юзал, походу.
Так вот, почему-то, в части доступных мне nix- систем (да, не свежайших, но все же) нельзя просто взять и включить доступ только по TLSv1.2.
Или TLSv1.2 и TLSv1.1 вместе - или только TLSv1 без 1.2 и 1.1 (ту чаще всего от старости ОСей и либы OpenSSL, не спорю).
т.е. SSLProtocol All -SSLv2 -SSLv3 - работает
SSLProtocol All -SSLv2 -SSLv3 -TLSv1 - работает много где
SSLProtocol All -SSLv2 -SSLv3 -TLSv1 -TLSv1.1 - посылает к неверному .conf
Starting httpd: Syntax error on line 93 of /etc/httpd/conf.d/ssl.conf:
SSLProtocol: Illegal protocol 'TLSv1.1'
В итоге, намучившись с зоопарком виртуалок с апачем разной степени древности, поднял мате с nginx - и все заработало "из коробки".
Хотя - "disabled TLS1.2 on the client side, not on the server side. And this is probably done because it broke things with older F5 devices."
В общем - занятно, погрузился в красноглазый мир, даже багтрекеры по этой теме полистал.
P.S. в настройке аналогичной конфигурации на iis даже не лез, там ещё мутнее, судя по манам.
P.P.S. возможно, косяк мой - апач-то поддерживающий TLS 1.1 был, а вот OpenSSL не смотрел, мог и 1.0.0. оставить
а, не, я таки лоханулся httpd version 2.2.23 and later, а я древнючий 2.12 юзал, походу.