Paramètres SSLCipherSuite dans Apache pour prendre en charge TLS 1.0, 1.1 et 1.2

J'ai un serveur Web Apache 2.4.7 exécutant plusieurs noms de domaine en utilisant une seule adresse IP. À la suite de la vulnérabilité de Caniche, j'ai ajouté la ligne SSLCipherSuite suivante. Cela a bien fonctionné pendant un certain temps, mais les utilisateurs signalent des problèmes d'accès à la page dans Firefox. Demander aux utilisateurs de changer de navigateur n'est malheureusement pas une option, je dois donc modifier les paramètres pour prendre en charge TLS 1.0, 1.1 et 1.2.

Les paramètres actuels sont :

<VirtualHost ZYX.XYZ.org:443>
DocumentRoot /var/www/ZYX.XYZ/www
ServerName ZYX.XYZ.org

<Directory "/var/www/ZYX.XYZ/">
  allow from all
  Options -Indexes
</Directory>

SSLEngine on
SSLCipherSuite ALL:!ADH:RC4+RSA:+HIGH:+MEDIUM:-LOW:-SSLv2:-SSLv3:-EXP:!kEDH
SSLCertificateFile /etc/apache2/ssl/XYZ.org.crt
SSLCertificateKeyFile /etc/apache2/ssl/XYZ.org.key
SSLCACertificateFile /etc/apache2/ssl/gd_bundle-g2-g1.crt
</VirtualHost>

Si nous regardons Test de Qualys , nous voyons que le serveur ne supporte que TLS 1.2.

Quels seraient les paramètres appropriés pour activer TLS 1.0, TLS 1.1 et TLS 1.2, afin que le site puisse prendre en charge les navigateurs plus anciens et maintenir un niveau de sécurité décent?

demandé sur