Попытка настроить openldap TLSCipherSuite

У меня есть сервер openldap, и я пытаюсь настроить свой TLSCipherSuite настройки должны быть максимально безопасными.

Пожалуйста, не критикуйте мои фактические настройки безопасности. Пожалуйста, просто помогите мне понять, что происходит.

Я редактирую /etc/openldap/slapd.conf файл, и я использую slaptest преобразовать этот файл в /etc/openldap/slapd.d каталог конфигурации. я использую sslscan перечислить шифры, доступные для использования.

Я начал с

TLSCipherSuite HIGH:MEDIUM:-SSLv2:+SSLv3

а также sslscan говорит мне

$ sslscan --no-failed hostname:636  | grep Accepted
Accepted  SSLv3  256 bits  DHE-RSA-AES256-SHA
Accepted  SSLv3  256 bits  DHE-RSA-CAMELLIA256-SHA
Accepted  SSLv3  256 bits  AES256-SHA
Accepted  SSLv3  256 bits  CAMELLIA256-SHA
[...]
Accepted  TLS12  112 bits  DES-CBC3-SHA
Accepted  TLS12  112 bits  ECDHE-RSA-RC4-SHA
Accepted  TLS12  112 bits  RC4-SHA
Accepted  TLS12  112 bits  RC4-MD5

$ sslscan --no-failed hostname:636  | grep Accepted  | wc -l
72

Оттуда я достал СРЕДНЮЮ

TLSCipherSuite HIGH:-SSLv2:+SSLv3

$ sslscan --no-failed hostname:636  | grep Accepted  | wc -l
57

Лучше. Затем я попытался удалить SHA1, и вот тут я полностью запутался.

TLSCipherSuite HIGH:-SSLv2:+SSLv3:-SHA

$ sslscan --no-failed hostname:636  | grep Accepted  | wc -l
91

$ sslscan --no-failed hostname:636  | grep Accepted
[...]
Accepted  TLS12  112 bits  RC4-SHA
Accepted  TLS12  112 bits  RC4-MD5
Accepted  TLS12  56 bits   EDH-RSA-DES-CBC-SHA
Accepted  TLS12  56 bits   DES-CBC-SHA
Accepted  TLS12  0 bits    ECDHE-RSA-NULL-SHA
Accepted  TLS12  0 bits    NULL-SHA
Accepted  TLS12  0 bits    NULL-MD5

Итак, мой вопрос... что здесь произошло, что я попытался удалить некоторые шифры из моего принятого списка, и вместо этого я добавил кучу? Что я сделал не так?

Опять же, пожалуйста, не критикуйте мои фактические настройки безопасности. Пожалуйста, просто помогите мне понять, что происходит.