Apache TrafficServer в качестве обратного прокси дает пустой список шифров

Я пытаюсь настроить Apache Trafficserver в качестве обратного прокси. (Debian Stretch, ATS 7.0.0 (также пробовал 7.1.2 из backports), openssl 1.1.0f)

Пока все шло хорошо, пока я не наткнулся на настройку TLS. Я добавил порт 443 для SSL в records.config, установил cert-paths, создал локальный тестовый сертификат, который я определил по умолчанию в ssl_multicert.config, а также попытался поиграться с cipher_list.

Но независимо от того, какой cipher_list я использую (закомментированный с #, значением по умолчанию из пакета, только один шифр, NULL для всех шифров), сервер трафика не дает ни одного шифра в ответе на рукопожатие. Как следствие, Firefox выдает "отсутствие шифрования", а sslscan выдает следующий результат:

user@host:~$ sslscan https://testats.mycompany.com
Version: 1.11.5
OpenSSL 1.0.2l  25 May 2017

OpenSSL version does not support SSLv2
SSLv2 ciphers will not be detected

OpenSSL version does not support SSLv3
SSLv3 ciphers will not be detected
Testing SSL server testats.mycompany.com on port 443

  TLS renegotiation:
Session renegotiation not supported

  TLS Compression:
OpenSSL version does not support compression
Rebuild with zlib1g-dev package for zlib support

  Heartbleed:
TLS 1.2 not vulnerable to heartbleed
TLS 1.1 not vulnerable to heartbleed
TLS 1.0 not vulnerable to heartbleed

  Supported Server Cipher(s):
user@host:~$

Тест с sslscan против исходного веб-сервера, который ATS должен переназначить, работает нормально.

Есть идеи?