<div dir="ltr"><div dir="ltr">Hello,<div><br></div><div>I have found that in TLS 1.3 mode nginx doesn't fully disable session tickets even with </div><div><br></div><div>session_tickets off;</div><div><br></div><div>According to <a href="https://www.openssl.org/docs/man1.1.1/man3/SSL_get_options.html" target="_blank">https://www.openssl.org/docs/man1.1.1/man3/SSL_get_options.html</a> </div><div><br></div><div>SSL_CTX_set_options(conf->ssl.ctx, SSL_OP_NO_TICKET);<br></div><div><br></div><div>is not enough to disable session tickets. It only disables stateless tickets but preserves stateful ones.</div><div><br></div><div>It can be easily verified with</div><div><br></div><div>openssl s_client -connect localhost:443</div><div><br></div><div>Nginx still returns session tickets.</div><div><br></div><div>To fully disable tickets</div><div><br></div><div>SSL_CTX_set_num_tickets(conf->ssl.ctx, 0);<br></div><div><br></div><div>should also be called.</div><div><br></div><div>I am not sure on changes. Not sure if I fully understand your intentions on this nginx behaviour. Could you please review the proposed patch ?</div></div></div>