iOS升级至26.0后，访问有NGAF解密策略的网站时提示：协议不

iOS升级至26.0后，访问有NGAF解密策略的网站时提示：
协议不受支持
客户端和服务器不支持一般 SSL 协议版本或加密套件。

关闭加密策略后访问正常。

这个怎么处理？解密策略很重要啊

补充一下：目前在解密设置中，TLS1.0和1.1是已经禁用了的，只保留了1.2（1.0和1.1都取消了勾选，解密设置中没有1.3，但1.2应该是受iOS26支持的），内部服务器是用的nginx，也只保留了1.2和1.3，nginx中的加密组件也是较为现代的加密套件，毕竟禁用解密后就正常了，所以nginx这边设置应该是没问题的。

问题根源分析
协议版本不兼容
iOS 26.0可能默认禁用了旧版SSL/TLS协议（如TLS 1.0、TLS 1.1），而NGAF设备或网站服务器可能仍依赖这些旧协议进行解密，导致握手失败。
加密套件不匹配
iOS 26.0可能仅支持更安全的加密套件（如AES-GCM、ECDHE密钥交换），而NGAF设备或服务器配置的加密套件未包含这些选项，导致协商失败。
NGAF解密策略配置问题
NGAF设备可能未正确配置对iOS 26.0的兼容性，例如未更新证书、未启用双向认证，或解密规则未覆盖新系统。

解决方案
1. 调整NGAF设备的SSL/TLS配置
禁用旧协议
在NGAF管理界面中，进入SSL策略或服务器策略，禁用TLS 1.0、TLS 1.1，仅保留TLS 1.2和TLS 1.3（iOS 26.0默认支持的协议版本）。
更新加密套件
在NGAF的加密套件配置中，优先选择iOS 26.0支持的套件，例如：
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
TLS_AES_256_GCM_SHA384（TLS 1.3专用）
避免使用已淘汰的套件（如RC4、3DES）。
2. 更新NGAF设备的证书
确保证书有效
检查NGAF设备使用的SSL证书是否过期或域名不匹配。若证书过期，需重新申请并安装有效证书（如Let's Encrypt或商业证书）。
启用证书透明度（CT）
在NGAF中启用证书透明度日志监控，避免因证书链不完整被iOS 26.0拦截。
3. 调整iOS设备的网络设置（临时测试）
关闭VPN或代理
若iOS设备连接了VPN或代理，尝试关闭后测试访问，避免中间设备干扰SSL握手。
重置网络设置
进入设置 → 通用 → 传输或还原iPhone → 还原 → 还原网络设置，清除可能冲突的网络配置。