Moin zusammen,

ich schlage mich gerade mit Secure WebSocket herum und möchte meinen Apache Server, der bereits als "incoming/reverse" Proxy arbeitet nun dafür verwenden einen unsecure "ws://" Websocket call in einen secure "wss://" call umzuwandeln.
Gibt einige Dokumentationen im Netz, daß das grundsätzlich funktioniert.

Ich scheitere momentan ein einer Nebenbaustelle.
Laut SSLlabs Test ist mein proxy von außen ein "A+" und nur mit TLSV1.2 und TLSV1.3 zu erreichen.
Wenn ich aber nun aus meinem eigenen Netzwerk -also meiner W10 Workstation; einen ws-call starte, dann geht der Proxy mit TLSV1 beim "Client Hello" raus -ich versuche zum Testen aktuell mit "echo.websocket.org" zu arbeiten.

Der Verbindungsaufbau schlägt dann auch mit einem "Fatal Decode Error" fehl und wird beendet.

In der SSL.conf des Apache habe ich das eingetragen:

Code:
        SSLProtocol all -SSLv2 -SSLv3 -TLSv1 -TLSv1.1
        SSLProxyProtocol all -SSLv2 -SSLv3 -TLSv1 -TLSv1.1
Demnach sollte der Proxy nur noch TLSv1.2 und TLSv1.3 kennen.
Warum aber sendet er TLSv1 beim ausgehenden Handshake?

Irgendwelche Ideen, wo mein Fehler liegt?

Hier mal als "Bild" die beiden Verbindungen:

OK: [Public Internet] == TLSv1.2 | TLSv1.3 ==> [private reverse proxy] == unsecure connection ==> [private application]

nOK: [private Workstation] == unsecure ws:// ==> [private reverse proxy] == TLSv1 ==> [public application]