因此我具有以下设置:
弱TLS 1.0应用程序 DMZ反向代理客户端
Apache-Vhost的配置如下:
HTTP:
<VirtualHost x.x.x.x:80>
ServerName weak.application.de
Redirect / https://weak.application.de/
</VirtualHost>
HTTPS:
<VirtualHost x.x.x.x:443>
ServerName weak.application.de:443
SSLEngine on
SSLCipherSuite AES256+EECDH:AES256+EDH
SSLProtocol All -SSLv2 -SSLv3 -TLSv1 -TLSv1.1
SSLHonorCipherOrder On
SSLCompression off
SSLCertificateFile /actual/cert/of/the/application
SSLCertificateKeyFile /actual/key/of/the/application
SSLCertificateChainFile /actual/intermediate_chain/of/the/application
SSLProxyEngine On
RequestHeader set X-Forwarded-Proto "https"
RequestHeader set X-Forwarded-Port "443"
ProxyRequests Off
ProxyPass / https://weak.application.de/
ProxyPassReverse / https://weak.application.de/
</VirtualHost>
并且工作正常。但我只是注意到以下几点:在此应用程序的代理IP上使用openssl s_client连接时,我与TLS 1.2连接,如预期的那样
但是当即时消息使用我的浏览器访问相同的IP时,证书详细信息会告诉我即时消息使用TLS 1.0的能力很弱。
是否有适当的方法将弱TLS隐藏在代理后面?我错过了什么吗?
我想拥有这样的东西:弱应用程序 DMZ反向代理客户端
我正在Centos 7.8上使用Apache / 2.4.6。在此先感谢
干杯,托马斯
我刚刚发现这是某种缓存/会话问题。该配置是正确的,并且在重新加载httpd并使用Private-Surfing之后,我能够通过代理连接到弱服务器,但看起来我们正在使用TLS 1.2。