<div dir="ltr">Piotr, are we talking about "session tickets" (<a href="http://tools.ietf.org/html/rfc4507">http://tools.ietf.org/html/rfc4507</a>) ?<br><br></div><div class="gmail_extra"><br><br><div class="gmail_quote">
On Mon, Sep 16, 2013 at 12:30 PM, Piotr Sikora <span dir="ltr"><<a href="mailto:piotr@cloudflare.com" target="_blank">piotr@cloudflare.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
Hello,<br>
<div class="im"><br>
> SSL session tickets are not good enough b/c they don't support modern cipher modes (like GCM) and they don't work with PFS.<br>
<br>
</div>Neither is true. Below is the output of nginx's debug log for two SSL<br>
handshakes. First connection creates new session (and does full<br>
handshake), while the second one successfully reuses session (and is<br>
doing only abbreviated handshake) using Session Ticket from the first<br>
connection. As you can see, there was no problem with negotiating TLS<br>
1.2 or PFS cipher suite.<br>
<br>
[debug] 20655#0: *1 SSL_accept: before/accept initialization<br>
[debug] 20655#0: *1 SSL server name: "localhost"<br>
[debug] 20655#0: *1 SSL_accept: SSLv3 read client hello A<br>
[debug] 20655#0: *1 SSL_accept: SSLv3 write server hello A<br>
[debug] 20655#0: *1 SSL_accept: SSLv3 write certificate A<br>
[debug] 20655#0: *1 SSL_accept: SSLv3 write key exchange A<br>
[debug] 20655#0: *1 SSL_accept: SSLv3 write server done A<br>
[debug] 20655#0: *1 SSL_accept: SSLv3 flush data<br>
[debug] 20655#0: *1 SSL_do_handshake: -1<br>
[debug] 20655#0: *1 SSL_get_error: 2<br>
[debug] 20655#0: *1 SSL handshake handler: 0<br>
[debug] 20655#0: *1 SSL_accept: SSLv3 read client key exchange A<br>
[debug] 20655#0: *1 SSL_accept: SSLv3 read finished A<br>
[debug] 20655#0: *1 SSL_accept: SSLv3 write session ticket A<br>
[debug] 20655#0: *1 SSL_accept: SSLv3 write change cipher spec A<br>
[debug] 20655#0: *1 SSL_accept: SSLv3 write finished A<br>
[debug] 20655#0: *1 SSL_accept: SSLv3 flush data<br>
[debug] 20655#0: *1 SSL_do_handshake: 1<br>
[debug] 20655#0: *1 SSL: TLSv1.2, cipher: "ECDHE-RSA-AES128-GCM-SHA256<br>
TLSv1.2 Kx=ECDH Au=RSA Enc=AESGCM(128) Mac=AEAD"<br>
<br>
[debug] 20655#0: *2 SSL_accept: before/accept initialization<br>
[debug] 20655#0: *2 SSL server name: "localhost"<br>
[debug] 20655#0: *2 SSL_accept: SSLv3 read client hello A<br>
[debug] 20655#0: *2 SSL_accept: SSLv3 write server hello A<br>
[debug] 20655#0: *2 SSL_accept: SSLv3 write change cipher spec A<br>
[debug] 20655#0: *2 SSL_accept: SSLv3 write finished A<br>
[debug] 20655#0: *2 SSL_accept: SSLv3 flush data<br>
[debug] 20655#0: *2 SSL_do_handshake: -1<br>
[debug] 20655#0: *2 SSL_get_error: 2<br>
[debug] 20655#0: *2 SSL handshake handler: 0<br>
[debug] 20655#0: *2 SSL_accept: SSLv3 read finished A<br>
[debug] 20655#0: *2 SSL_do_handshake: 1<br>
[debug] 20655#0: *2 SSL: TLSv1.2, cipher: "ECDHE-RSA-AES128-GCM-SHA256<br>
TLSv1.2 Kx=ECDH Au=RSA Enc=AESGCM(128) Mac=AEAD"<br>
[debug] 20655#0: *2 SSL reused session<br>
<br>
Best regards,<br>
Piotr Sikora<br>
<div class="HOEnZb"><div class="h5"><br>
_______________________________________________<br>
nginx-devel mailing list<br>
<a href="mailto:nginx-devel@nginx.org">nginx-devel@nginx.org</a><br>
<a href="http://mailman.nginx.org/mailman/listinfo/nginx-devel" target="_blank">http://mailman.nginx.org/mailman/listinfo/nginx-devel</a><br>
</div></div></blockquote></div><br></div>