Secure Sockets Layer (SSL) ディレクティブ

SSLOCSPResponderURL

CRL 検査を構成している場合でも、OCSP 検査は CRL 検査の前に実行されます。 CRL 検査は、CRL の結果が不明または不確定な場合にのみ行われます。

もし SSLOCSPResponderURL が設定されている場合、 IBM HTTP Server は、SSLクライアント証明書が提供されたときに、提供された URL を使用して証明書の失効ステータスをチェックします。

SSLOCSPEnable

SSLOCSPEnable が設定されていて、SSL クライアント証明書チェーンに AIA 拡張機能が含まれている場合、 IBM HTTP Server は AIA 拡張機能によって示される OCSP レスポンダーに接続して、クライアント証明書の失効状況を検査します。

OCSP および CRL 検査の両方を構成している場合、OCSP 検査は CRL 検査の前に実行されます。 CRL 検査は、OCSP 検査の結果が不明または不確定な場合にのみ行われます。

SSLOCSPEnable および SSLOCSPResponderURL の両方を構成している場合は、SSLOCSPResponderURL で定義されたレスポンダーが先に検査されます。 失効状況が不明または解決不能の場合、 IBM HTTP Server は SSLOCSPEnableの OCSP レスポンダーを検査します。

SSLOCSPCacheSize

ゼロ以外の SSLOCSPCacheSize を使用可能にすると、OCSP 応答のメモリー内キャッシュを使用できるようになります。 キャッシュ・エントリーの存続期間は、以下の 3 つの要因に依存します。

1. OCSP レスポンダーによって指定された nextUpdate フィールド。
2. HTTP OCSP レスポンダによって指定されたキャッシュ・ヘッダ。
3. 新規エントリーを収容するためのフル・キャッシュからの除去。

キャッシュの内容は表示できず、Web サーバーの再始動時にのみクリアできます。

Keyfile ディレクティブ

プロンプト・オプションを使用して、鍵ファイルのパスワードを求めるプロンプトが HTTP サーバーによって始動時に出されるようにします。 プロンプト・オプションがサポートされるのは、サーバーがコマンド行から対話式に開始された場合のみです。

重要： z/OS® システムは、他のプラットフォームで作成されたキー・データベース・ファイルをサポートしていません。 z/OS システムに使用する鍵データベース・ファイルは、 z/OS プラットフォームで作成する必要があります。

IBM HTTP Server の始動に使用される ID は、このディレクティブで指定された鍵リングにアクセスできなければなりません。 ID にアクセス権がない場合、SSL 初期化は 失敗します。

SSLAcceleratorDisable ディレクティブ

SSLAllowNonCriticalBasicConstraints ディレクティブ

SSLCacheDisable ディレクティブ

SSLCacheEnable ディレクティブ

SSLCacheErrorLog ディレクティブ

SSLCachePath ディレクティブ

SSLCachePath ディレクティブは、セッション ID キャッシング・デーモンへのパスを指定します。 複数の ServerRoot ディレクティブや、1 つのインストール済み環境を共有する -d オプションを使用した、複数の IHS のインスタンスがある場合を除き、このディレクティブを指定する必要はありません。

前述のように代替のサーバー・ルートで複数の IHS インスタンスを使用している場合は、 このディレクティブを使用して、この IHS インスタンスが、デフォルトで使用される別々のサーバー・ルートではなく、 単一のインストール・ルートの bin/sidd バイナリーのパスを指すようにしてください。

複数のインスタンスが使用されている場合に、bin/sidd バイナリーをあちらこちらにコピーしたり、 このディレクティブで、サーバー・ルートにインストールされている bin/sidd 以外のものを指定したりする実用的な理由はありません。 同じバイナリーを共有する IHS インスタンス間で、このディレクティブの値を変える必要はありません。

SSLCachePortFilename ディレクティブ

SSLCacheTraceLog ディレクティブ

SSLCheckCertificateExpiration

SSLCipherBan ディレクティブ

SSLCipherRequire ディレクティブ

SSLCipherSpec ディレクティブ

SSLCipherSpec ディレクティブを使用して、ハンドシェーク時にサポートされる SSL 暗号をカスタマイズできます。 SSL 暗号のセットおよび優先順位をカスタマイズできます。

分散プラットフォームでは、各プロトコルは順序付けられた暗号のリストを独自に持っています。 サポートされるプロトコルは SSL バージョン 2、SSL バージョン 3、TLS バージョン 1.0、TLS バージョン 1.1、および TLS バージョン 1.2 です。

z/OSでは、有効な暗号のリストは 2 つのみです。1 つは SSL バージョン 2 用で、もう 1 つはその他のプロトコル用です。 サポートされるプロトコルは SSL バージョン 2、SSL バージョン 3、TLS バージョン 1.0、および TLS バージョン 1.1 です。 TLS バージョン 1.2 は、OA39422 が適用された z/OS V1R13 またはそれ以降でサポートされています。

SSL Version 2 の暗号はデフォルトで暗号なしに設定されます。これはプロトコルが使用不可に設定されていることを意味します。 他のプロトコルはデフォルトで一連の SSL 暗号 (Null 暗号、エクスポート暗号、および強度の低い暗号を除く) に設定されます。

単一引数形式の SSLCipherSpec を使用すると、暗号はその暗号が有効なすべてのプロトコルで使用可能になります。 そのような変更が各プロトコルに対して初めて行われた際、プロトコルのデフォルト暗号は破棄されます。

複数引数形式の SSLCipherSpec を使用し、最初の引数として SSL プロトコル名 (または「 ALL」) を指定すると、以下のメリットを備えた拡張構文を使用できます。

プロトコル名に ALL を指定し、各暗号名に関して追加または削除を指定すると、その暗号が有効な各プロトコルに適用されます。

特殊なケースとして、SSLCipherSpec ALL NONE を使用して、すべての暗号リストの内容を単一のコマンドで削除できます。 デフォルトの暗号を使用したくない場合は常に、構成を開始する際にこのコマンドを使用することをお勧めします。

例 1

ごく一部の暗号のみを選択したい場合、以下のように、最初にすべての暗号リストをリセットしてから必要な暗号を追加することをお勧めします。

# Delete all ciphers from the cipher lists 
SSLCipherSpec ALL NONE 
# Add a few specific ciphers 
SSLCipherSpec ALL +SSL_RSA_WITH_3DES_EDE_CBC_SHA 
SSLCipherSpec ALL +TLS_RSA_WITH_AES_256_CBC_SHA 

例 2

デフォルトの大部分を使用したい場合、以下のように、使用したくない暗号を、それらが含まれるリストから削除できます。

# Delete some specific ciphers from the protocols where they are valid 
SSLCipherSpec ALL -SSL_RSA_WITH_RC4_128_MD5
SSLCipherSpec ALL -SSL_RSA_WITH_RC4_128_SHA 

SSLClientAuth ディレクティブ

SSLClientAuthGroup ディレクティブ

SSLClientAuthGroup ディレクティブでは、 特定のクライアント証明書の属性および値のペアのセットを含む名前付き式グループを定義します。 この名前付きグループは SSLClientAuthRequire ディレクティブで使うことができます。 証明書は、サーバーが保護されたリソースへのアクセスを許可する前に、 クライアント (この式を渡す) によって提供される必要があります。

SSLClientAuthGroup IBMUSpeople (Org
=  IBM) AND (Country = US)

次のセクションでは、 有効な論理式を用いた例の説明を提供します。 例えば、 SSLClientAuthGroup ((CommonName = "Fred Smith") OR (CommonName = "John Deere")) AND (Org = IBM) は、クライアント証明書に Fred Smith または John Deere の共通名が含まれ、組織が IBMでない限り、オブジェクトが提供されないことを示します。 属性検査で有効な比較は、等号と不等号 (= および! =) のみです。 各属性チェックは、AND、OR、または NOT (& &、| |、および!) を使用してリンクすることができます。 AND、OR、または NOT で関連付けた比較はいずれも括弧で囲む必要があります。 属性の値に非英数字が含まれる場合、 値を引用符で区切る必要があります。

ロング・ネームまたはショート・ネームは、このディレクティブで使用できます。

SSLClientAuthGroup IBMpeople Org = IBM)

SSLClientAuthGroup
NotMNIBM (ST != MN) && (Org = IBM) 

グループ名には、スペースを入れることはできません。 詳しくは、 SSLClientAuthRequire ディレクティブを参照してください。

SSLClientAuthRequire ディレクティブ

SSLClientAuthRequire ディレクティブでは、 サーバーが保護リソースへのアクセスを許可する前に、属性値、または属性値のグループを指定します。これらは、クライアント証明書に対して検証される必要があります。

SSLClientAuthRequire (group != IBMpeople)
 && (ST = M)

受け取った証明書に特定の属性がない場合は、 属性の一致に対する検証がありません。 指定された一致する値が " "でも、属性がまったくない場合と同じであるとはかぎりません。 SSLClientAuthRequire ディレクティブで指定された属性はすべて、 証明書で利用できません。要求が拒否される原因となります。

ロング・ネームまたはショート・ネームは、このディレクティブで使用できます。

ユーザーは、特定クライアント証明書の属性の論理式を指定します。 クライアント証明書の属性値のグループを指定する必要がある場合は、複数の式に対して AND、OR、または NOT を論理的に使用します。 AND、OR、または NOT で関連付けた比較はいずれも括弧で囲む必要があります。 有効な演算子には = と != がある。 また、 SSLClientAuthGroup ディレクティブを使用して設定されたグループ名を指定して、属性のグループを設定することもできます。

SSLClientAuthRequire ((CommonName="John Doe") || (StateOrProvince=MN)) && (Org!=IBM)  

SSLClientAuthRequire (group!=IBMpeople) && (ST=MN)

SSLClientAuthRequire (group!= IBMpeople) && ("ST= MN")

表 3. サブジェクト代替名 (SAN) TLS クライアント証明書拡張に関連する属性。 各属性には、SANDNSNAME0 や SANIPADDRESS3 のように、0 から 3 までの数字をサフィックスとして付ける必要があります。

属性プレフィックス	説明
SANDNSNAME	DNS 名
SANIPADDRESS	IP アドレス
SANRFC822NAME	RFC822 名 (E メール)
SANDIRECTORYNAME	ディレクトリー名
SANURI	Universal Resource Identifier (URI)

注： アトリビュートとして利用できるのは、各エクステンション・タイプの最初の4つの値のみです。 より複雑なニーズについては、 クライアント証明書環境変数表現パーサ・サポートを参照のこと。

SSLClientAuthVerify ディレクティブ

SSLClientAuthVerify ディレクティブは、クライアント証明書を受信したがその検証に失敗した場合 (有効期限が切れている、または取り消されているなど) に、IBM HTTP Server が要求を失敗させるかどうかを制御します。

このディレクティブは、SSLClientAuth Optional Noverify とともに使用して、デフォルトのブラウザー・エラー・メッセージの代わりに分かりやすい Web ページを提供します。

仮想ホストを SSLClientAuth Optional Noverify で構成する場合、クライアント証明書を受信したがその検証に失敗した場合 (有効期限が切れている、または取り消されているなど)、SSL 接続は確立されます。

その接続で受信した要求を特定のエラー・コードで失敗させるために、このディレクティブを Location または Directory などのコンテキストで使用します。OFF を設定すると通常に処理されます。

その状況に関するカスタムのエラー文書を提供することにより、管理者はユーザーに提示するページを制御することができます。例えばユーザーに対して証明書が無効であることを伝え、詳しい指示を与えることができます。

また、エラー文書が同じ仮想ホスト内の別の URL への内部リダイレクトである場合は、それが即座に失敗しないように、URL は必ずそのコンテキスト内に SSLClientAuthVerify OFF を持つ必要があります。 以下に、このシナリオの例を示します。

指定されたステータスコードは、 HTTP で有効で、 IBM HTTP Server で既知の応答ステータスでなければならない。 値は 100 から 599 の間で、一般に RFC または標準提案で定義されています。 不確かな場合は、状況コードをテスト構成で試行し、apachectl -t を使用してその状況コードが有効かどうかを確認してください。 使われていないコードで有効かつ適切な選択肢としては他に、418、419、420、および 421 があります。

クライアント証明書が無効であったため、エラー文書はクライアント証明書についての情報を含む環境変数をいずれも利用できません。 クライアント証明書の検証が失敗した原因は、SSL_LAST_VALIDATION_ERROR の環境変数で入手できます。 変数は GSKVAL_ERROR_REVOKED_CERT または GSKVAL_ERROR_CERT_EXPIRED になります。 証明書に複数の検証問題がある場合、報告される原因は多くの場合 GSKVAL_ERROR_CA_MISSING_CRITICAL_BASIC_CONSTRAINT です。

クライアント証明書の検証が失敗するたびに、2 つのメッセージが loglevel Error でエラー・ログに記録されます。 2 番目のメッセージに原因が含まれます。以下に例を示します。

[Tue Jun 08 08:54:25 2010] [error] [client 9.37.243.128] [9e44c28] [731] SSL0208E: SSL Handshake Failed, 
   証明書の妥当性検査エラー。 [9.37.243.128:60347 -> 9.37.243.67:443] [08:54:25.000223331]
[Tue Jun 08 08:54:25 2010] [error] [client 9.37.243.128] [9e44c28] [731] Certificate validation error 
   during handshake, last PKIX/RFC3280 certificate validation error was 
   GSKVAL_ERROR_CA_MISSING_CRITICAL_BASIC_CONSTRAINT 
   [9.37.243.128:60347 -> 9.37.243.67:443] [08:54:25.000223331]

<VirtualHost *:443
SSLClientAuth Optional Noverify
<Location />
SSLClientAuthVerify 419
</Location>
ErrorDocument 419 /error419.html
<Location /error419.html>
SSLClientAuthVerify OFF
</Location>
</VirtualHost>

SSLCRLHostname ディレクティブ (非推奨)

SSLCRLHostname ディレクティブは、 TCP/IP 名、または証明書失効リスト (CRL) のデータベースがある LDAP サーバーのアドレスを指定します。

LDAP-based CRL リポジトリーを静的に構成するには、SSLCRLHostname ディレクティブを SSLCRLPort ディレクティブ、SSLCRLUserID ディレクティブ、および SSLStashfile ディレクティブと共に使用します。 明示的な CRLDistributionPoint X.509v3 証明書拡張が存在しないか、拡張で指定されたサーバーが応答しない (つまり、使用不可な) 場合にのみ、これらのディレクティブを使用して LDAP ベースの CRL リポジトリーを照会する必要があります。

証明書に CRLDistributionPoint 拡張が存在し、拡張で指定されたサーバーが応答する (つまり、使用可能な) 場合、CRLDistributionPoint に指定された LDAP サーバーは、これらのディレクティブを使用せずに匿名で照会されます。

SSLCRLPort ディレクティブ (非推奨)

SSLCRLPort ディレクティブは、証明書失効リスト (CRL) のデータベースがある場合、LDAP サーバーのポートを指定します。

LDAP-based CRL リポジトリーを静的に構成するには、SSLCRLPort ディレクティブを SSLCRLUserID ディレクティブ、SSLCRLHostname ディレクティブ、および SSLStashfile ディレクティブと共に使用します。 明示的 CRLDistributionPoint X.509v3 証明書の拡張子がないか、または拡張子で指定されたサーバーが応答しない (使用不可) 場合にのみ、LDAP-based CRL リポジトリーを照会するために、これらのディレクティブを使用することが必要です。

CRLDistributionPoint 拡張子が証明書にあり、拡張子で指定されたサーバーが反応する (使用可能な) 場合、CRLDistributionPoint で指定された LDAP サーバーはこれらのディレクティブを使用せずに匿名で照会されます。

SSLCRLUserID ディレクティブ (非推奨)

SSLCRLUserID ディレクティブは、証明書失効リスト (CRL) のデータベースがある LDAP サーバーに送信するユーザー ID を指定します。

LDAP-based CRL リポジトリーを静的に構成するには、SSLCRLUserID ディレクティブを SSLCRLPort ディレクティブ、SSLCRLHostname ディレクティブ、および SSLStashfile ディレクティブと共に使用します。 明示的な CRLDistributionPoint X.509v3 証明書拡張が存在しないか、拡張で指定されたサーバーが応答しない (つまり、使用不可な) 場合にのみ、これらのディレクティブを使用して LDAP ベースの CRL リポジトリーを照会する必要があります。

CRLDistributionPoint 拡張子が証明書にあり、拡張子で指定されたサーバーが反応する (使用可能な) 場合、CRLDistributionPoint で指定された LDAP サーバーはこれらのディレクティブを使用せずに匿名で照会されます。

SSLDisable ディレクティブ

SSLEnable ディレクティブ

SSLFakeBasicAuth ディレクティブ

SSLFakeBasicAuth ディレクティブは、偽の基本認証のサポートを使用可能にします。

SSLFIPSDisable ディレクティブ

SSLFIPSEnable ディレクティブ

SSLFIPSEnable ディレクティブは、連邦情報処理標準 (FIPS) を使用可能にします。

このディレクティブは、分散プラットフォームに適用可能です。

トラブルを避けてください： このディレクティブは z/OS プラットフォームでサポートされていますが、以下の制限があります。

• ディレクティブはグローバル有効範囲でのみ有効です。
• ディレクティブの値を変更する場合は、新しい値を有効にするために、 IBM HTTP Server を停止してから始動する必要があります。 再始動した場合、新しい値は有効になりません。

SSLInsecureRenegotiation ディレクティブ

SSLInsecureRenegotiation ディレクティブは、安全でない (RFC5746 以前の) SSL 再ネゴシエーションを許可するかどうかを指定します。 SSL 再ネゴシエーションはいずれの種類も一般的ではなく、このディレクティブはデフォルト値の off から変更すべきではありません。

重要: V8.0.0.1より前のバージョンでは、サーバーは RFC5746 サポートを備えており、セキュアな再ネゴシエーション要求を受け入れます。 V8.0.0.1 以降では、セキュア再ネゴシエーション要求を受け入れるためには、まず SSLRenegotiation ディレクティブを使用可能にする必要があります。

on を指定した場合、安全でない SSL 再ネゴシエーションが許可されます。 off を指定した場合 (デフォルト)、安全でない SSL 再ネゴシエーションは許可されません。

SSLMinimumRSAKeySize ディレクティブ

この SSLMinimumRSAKeySize ディレクティブは主に、受信したクライアント証明書に最小の RSA 鍵サイズを強制するために使われます。 このディレクティブの動作は、プラットフォーム・セキュリティー・ライブラリーが提供する機能によって異なります。

鍵のサイズは、サーバーが受け取るクライアント証明書に強制される。 クライアント証明書の発行者は検査されません。

鍵のサイズは、 mod_ibm_ssl によって送受信されるすべての証明書（完全な証明書チェーンを含む）に対して強制される。 ロギング式および条件式では、環境変数 SSL_CLIENT_KEY_ALG( RSA や EC_ecPublicKeyなど) および SSL_CLIENT_KEY_SIZE を使用します。

最小 RSA 鍵サイズが満たされていない場合、SSL ハンドシェークは失敗します。

SSLPKCSDriver ディレクティブ

SSLPKCSDriver ディレクティブは、モジュールに対する完全修飾名、または PKCS11 デバイスへのアクセスに使用されるドライバーを識別します。

SSLProtocolDisable ディレクティブ

SSLProtocolDisable ディレクティブを使用して、特定の仮想ホストに関してクライアントが使用できない SSL プロトコルを 1 つ以上指定することができます。 このディレクティブは <VirtualHost> コンテナの中になければなりません。

仮想ホスト用にサポートされたプロトコルは、別個にサポートされます。 サポートされたプロトコルがすべて使用不可の場合、クライアントは SSL ハンドシェークを完了することができません。

<VirtualHost *:443> 
   SSLEnable 
   SSLProtocolDisable TLSv10
   # Any other directives ...
</VirtualHost>

SSLProtocolEnable ディレクティブ

SSLProtocolEnable ディレクティブを使用して、個々の SSL プロトコルを使用可能にすることができます。

SSLProxyEngine ディレクティブ

SSLProxyCheckPeerCN ディレクティブ

SSLRenegotiation ディレクティブ

SSLServerCert ディレクティブ

SSLStashfile ディレクティブ

SSLStashfile ディレクティブは、PKCS11 デバイスを開くための暗号化されたパスワードを格納しているファイルへのパスをファイル名と共に示します。

SSLStashfile は、使用中の KeyFile の stash ファイルを指しません。この stash ファイルは、KeyFile の名前に基づいて自動的に計算され、異なるタイプの stash ファイルだからです。

IBM HTTP Serverの bin ディレクトリーにある sslstash コマンドを使用して、CRL または暗号デバイス stash ファイルを作成します。 sslstash コマンドを使用して指定するパスワードは、LDAP サーバーや暗号ハードウェアにログインする際に使用するパスワードと同じものにする必要があります。

使用方法：sslstash [-c] <directory_to_password_file_and_file_name> <function_name> <password>

LDAP-based CRL リポジトリーを静的に構成するには、SSLStashFile ディレクティブを SSLCRLPort ディレクティブ、SSLCRLHostname ディレクティブ、および SSLCRLUserID ディレクティブと共に使用します。 明示的 CRLDistributionPoint X.509v3 証明書の拡張子がないか、または拡張子で指定されたサーバーが応答しない (使用不可) 場合にのみ、LDAP-based CRL リポジトリーを照会するために、これらのディレクティブを使用することが必要です。

CRLDistributionPoint 拡張子が証明書にあり、拡張子で指定されたサーバーが反応する (使用可能な) 場合、CRLDistributionPoint で指定された LDAP サーバーはこれらのディレクティブを使用せずに匿名で照会されます。

SSLSuiteBMode

SSLSuiteBMode ディレクティブを使用して、それを囲んでいるタグの仮想ホストが TLS に Suite B プロファイルを使用するように構成することができます。

Suite B プロファイルにより、サーバーが使用可能な署名アルゴリズムと暗号の仕様が大幅に削減されます。 受け入れ可能なアルゴリズムと暗号のセットは、ある程度の期間が経過すると、関連する標準が変更されるのに伴って変わります。 引数の 128 および 192 は、RFC 6460 で説明している 2 つのセキュリティー・レベルをそれぞれ指しています。

このディレクティブを指定すると、直近で指定された SSL ディレクティブがオーバーライドされます。 SSLAttributeSet 設定は、このディレクティブより優先度が高いため、このディレクティブによってオーバーライドされません。 すべての Suite B プロファイルが、サーバーの証明書チェーンに強力な ECC 署名を使用することを要求しています。 RFC 6460 に、Suite B プロファイルの制約事項が文書化されています。

SSLSupportedCurves

SSLSupportedCurves ディレクティブを使用すると、ハンドシェークが ECDHE 鍵交換を使用する環境で、サーバーが提供する曲線をカスタマイズすることができます。 クライアントとサーバーは、両サイドがサポートする名前付き曲線をネゴシエーションする必要があります。

SSLTrace ディレクティブ

SSLTrace ディレクティブは、 mod_ibm_ssl のデバッグ・ログインを使用可能にします。 LogLevel ディレクティブと一緒に使用します。 mod_ibm_sslでデバッグ・ロギングを有効にするには、 mod_ibm_sslの LoadModule ディレクティブの後に、 LogLevel を設定してデバッグを行い、 SSLTrace ディレクティブを IBM HTTP Server 構成ファイルのグローバル・スコープに追加します。 このディレクティブは通常、 mod_ibm_sslで疑わしい問題を調査する際に、 IBM サポートの要求に応じて使用されます。 通常の作動状態でこのディレクティブを使用可能にすることは推奨されていません。

SSLUnknownRevocationStatus

ディレクティブは SSLUnknownRevocationStatus ディレクティブは、 IBM HTTP Server が CRL や OCSP から来る失効ステータスを容易に判断できないときに、 IBM HTTP Server がどのように反応するかを指定します。

%{SSL_UNKNOWNREVOCATION_SUBJECT}e

%{ENV:SSL_UNKNOWNREVOCATION_SUBJECT}

SSLV2Timeout ディレクティブ

SSLV2Timeout ディレクティブは、SSL バージョン 2 セッション ID のタイムアウトを設定します。

SSLV3Timeout ディレクティブ

SSLV3Timeout ディレクティブは、SSL バージョン 3 および TLS のセッション ID のタイムアウトを設定します。 SSL セッションが再利用された場合、キャッシュされた SSLセッションの有効期間はリセットされません。

SSLVersion ディレクティブ

SSLVersion ディレクティブを使用すると、指定されたバージョン以外の SSL プロトコルでクライアントが接続した場合に、403 応答でオブジェクトのアクセスを拒否します。

特定の SSL プロトコル・バージョンを確実に使用するには、ほとんどの場合、SSLVersion ディレクティブよりも SSLProtocolDisable ディレクティブの選択が適しています。 SSLProtocolDisable ディレクティブを使用すると、クライアント・ブラウザーは、可能であれば別のプロトコル・バージョンとネゴシエーションすることができます。一方、 SSLVersion ディレクティブを使用すると、 IBM HTTP Server は 403 応答を送信するため、ユーザーを混乱させる可能性があります。