SSL -Protokoll in vhost

[rolapp]

folgende Frage bzw Problem:

ich Versuche gerade in einem Vhost das SSL-Protokoll einzuschränken.
trage ich in der vhost-conf datei folgendes ein

SSLProtocol TLSv1.2

wird das nicht erkannt.
trage ich das der ein

/etc/apache2/mods-available/ssl.conf

dann funktioniert meine Protokoll-Einschränkung.

'SSLCipherSuite' Einträge funktionieren zum Beispiel wieder im Vhost.

noch ein paar Daten:

Ubuntu 14.04
Apache 2.4
ISPConfig 3.0.5.4p1

laut Apache Doc sollte es aber gehen

Description: Configure usable SSL/TLS protocol versions
Syntax: SSLProtocol [+|-]protocol ...
Default: SSLProtocol all
Context: server config, virtual host
Status: Extension
Module: mod_ssl

Den Eintrag habe ich unter ISPConfig/optionen Apache-Dirktiven vorgenommen.
Der wird auch in die Vhost Datei geschrieben. Apache habe ich schon manuell gestartet.

Bin ich jetzt einfach nur blöd oder geht es bei Verwendung von SNI nicht.

Getestet habe ich mit https://www.ssllabs.com/ssltest/

 

[nevakee]

Schon mal damit in der vhost Datei probiert?

SSLProtocol -ALL +TLSv1.2

 

[rolapp]

Danke für die Antwort.
Das geht so nicht, ich hatte einen Denkfehler vom Amt.
Mein Vorhaben kann bei Verwendung von SNI natürlich nicht funktionieren.

Wikipedia:

Um als Nutzer die Authentizität einer Webseite im Internet zu überprüfen, verwendet man in der Regel digitale Zertifikate. Da der verschlüsselte Verbindungsaufbau zum Server bereits stattfindet, bevor die angefragte URL übertragen wird, ist es mit TLS 1.0/SSL-Verschlüsselung nicht möglich, mehrere Domains unter einer IP-Adresse zu nutzen (sogenanntes Virtual Hosting). Grund für diese Einschränkung ist, dass der Server bei mehreren Zertifikaten nicht weiß, welches Zertifikat, das immer nur für eine Domain gilt, er benutzen müsste. Zum Zeitpunkt der Spezifikation von SSL/TLS wurde die Möglichkeit von Virtual Hosting nicht vorgesehen.

Im erweiterten SNI-Verfahren wird der Domainname vom Browser in dem sogenannten server_name-Parameter bereits beim Verbindungsaufbau dem Server mit übergeben, sodass der Server das passende Zertifikat auswählen und beim TLS-Handshake verwenden kann.

Sendet der Client im "Client Hello" den Server Name steht ja das verwendete Protokoll schon fest. Mein Vorhaben funktioniert nur bei IP basierten Virtuellen Host.