TLSv1.2で定義された暗号スイートは、TLSv1.0のみをサポートするクライアントによってネゴシエートできますか?
サーバーでTLSv1.2によって定義されている暗号スイートのみが有効になっている場合、クライアントはTLSv1.2も使用する必要があります。そうでない場合、接続できなかったり、接続がTLSv1.1または1.0にフォールバックしたり、TLSv1をネゴシエートしたりできます。 .2暗号? GCMブロックモードがTLSv1.2のみであることは理解していますが、他のモードについては不明です。
TLSv1.2をサポートしていることを報告するクライアントにそれを使用させ、他のすべてのクライアント接続(TLSv1.0またはTLSv1.1の最大値のみをサポートしているクライアント)を失敗させます。
この時点で、クライアントが正確にわかっていて、実際にクライアントがTLSv1.2をサポートしていることがわかっていない限り(これがエンタープライズイントラネット環境にある場合など)、この構成はお勧めしません。インターネットの大部分は、これが災害ではないことが判明するために必要なレベルのサポートがまだありません。