Configuración de SSL en Apache

Tengo un server de Apache / 2.4.18 con OpenSSL / 1.0.1s. Utilicé el generador de configuration de SSL de Mozilla para generar la configuration de SSL:

SSLProtocol all -SSLv3 SSLCipherSuite ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA:ECDHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES256-SHA:ECDHE-ECDSA-DES-CBC3-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:DES-CBC3-SHA:!DSS SSLHonorCipherOrder on SSLCompression off SSLSessionTickets off 

SSL Labs testing da estos posts:

 The server supports only older protocols, but not the current best TLS 1.2. Grade capped to C. The server does not support Forward Secrecy with the reference browsers. 

Además, en la "simulación de apretón de manos" da el post:

 Apple ATS 9 / iOS 9 R Server sent fatal alert: handshake_failure 

¿Cómo puedo deshacerme de estos, especialmente el último para que los usuarios de iOS 9 puedan conectarse sin ningún problema?

¡Gracias!

Debería get un certificate SHA2, en primer lugar, según lo requiera Chrome.

Su configuration de ssl debería tener este aspecto:

 Listen 443 SSLEngine on SSLPassPhraseDialog builtin SSLProtocol ALL -SSLv2 -SSLv3 SSLCipherSuite ALL:!ADH:!EXPORT:!SSLv2:!RC4+RSA:+HIGH:!MEDIUM:!LOW:!MD5:!DES SSLCertificateFile /path/to/cert SSLCertificateKeyFile /path/to/key SSLCACertificateFile /path/to/cacert 

Opcionalmente, puede añadir estos para mayor security:

 Header always append X-Frame-Options SAMEORIGIN Header edit Set-Cookie ^(.*)$ $1;HttpOnly;Secure Header always set X-ServerId 1 

Honrar el order de la suite de encryption no es obligatorio.

Recomiendo probar su sitio con estas herramientas: https://www.ssllabs.com/ssltest/ https://ssl-tools.net/

que le dará una idea significativa de si su server está configurado correctamente, y proporcionar enlaces a hacer las cosas mejor