SSLProtocol all -SSLv2
это по сути
SSLCipherSuite ALL:!SSLv2
По конечному эффекту - возможно, но лучше бы выставлять SSL_OP_NO_SSLv2
через SSL_CTX_set_options() сразу при конфигурации сервера.
SSLProtocol не слишком удачное название. Лучше бы что-то вроде
"ssl_ctx_options" (что сразу говорит о том, что применяющий эту директиву
понимает что делает). Хочется иметь возможность поиграться с разными
опциями, типа SSL_OP_CIPHER_SERVER_PREFERENCE или
SSL_OP_NO_SESSION_RESUMPTION_ON_RENEGOTIATION. Вдруг удастся склонить IE к
желаемому cipher.
SSL_OP_CIPHER_SERVER_PREFERENCE оказалось великой вещью. Теперь при
ssl_prefer_server_ciphers on;
ssl_ciphers AES128-SHA:DES-CBC3-SHA:!EXPORT56:RC4+RSA:+SSLv2:+EXP;
MSIE 5.5, Opera 7.5 и Netscape 4.8 выбирают DES-CBC3-SHA, а Firefox
и Konqueror - AES128-SHA. MSIE 6, скорее всего, выберет тоже DES-CBC3-SHA.
Экспортные MSIE 5.0 (40-bit) и 5.01 (56-bit) выбирают EXP-RC4-MD5.
Таким образом, можно заставить распространённые браузеры использовать
акселерируемые hifn'ом AES128-SHA и DES-CBC3-SHA и, кроме того, сохранить
совместимость с другими браузерами.
Игорь Сысоев
