Re: Как приоритизировать шифры для TLSv1.3?

Maxim Dounin mdounin на mdounin.ru
Вт Ноя 6 17:00:56 UTC 2018 

Hello!

On Mon, Nov 05, 2018 at 07:38:46AM -0500, I0Result wrote:

> я смотрю openssl добавил другой параметр для сортировки шифров -ciphersuites
> (https://www.openssl.org/docs/man1.1.1/man1/ciphers.html)
> Если запускать команду, то шифры начинают приоритезироваться 
> openssl ciphers -ciphersuites
> TLS_CHACHA20_POLY1305_SHA256:TLS_AES_256_GCM_SHA384:TLS_AES_128_GCM_SHA256
> -s -v EECDH+CHACHA20:EECDH+AESGCM | column -t
> 
> TLS_CHACHA20_POLY1305_SHA256   TLSv1.3  Kx=any   Au=any   
> Enc=CHACHA20/POLY1305(256)  Mac=AEAD
> TLS_AES_256_GCM_SHA384         TLSv1.3  Kx=any   Au=any    Enc=AESGCM(256)  
>           Mac=AEAD
> TLS_AES_128_GCM_SHA256         TLSv1.3  Kx=any   Au=any    Enc=AESGCM(128)  
>           Mac=AEAD
> ECDHE-ECDSA-CHACHA20-POLY1305  TLSv1.2  Kx=ECDH  Au=ECDSA 
> Enc=CHACHA20/POLY1305(256)  Mac=AEAD
> ECDHE-RSA-CHACHA20-POLY1305    TLSv1.2  Kx=ECDH  Au=RSA   
> Enc=CHACHA20/POLY1305(256)  Mac=AEAD
> ECDHE-ECDSA-AES256-GCM-SHA384  TLSv1.2  Kx=ECDH  Au=ECDSA  Enc=AESGCM(256)  
>           Mac=AEAD
> ECDHE-RSA-AES256-GCM-SHA384    TLSv1.2  Kx=ECDH  Au=RSA    Enc=AESGCM(256)  
>           Mac=AEAD
> ECDHE-ECDSA-AES128-GCM-SHA256  TLSv1.2  Kx=ECDH  Au=ECDSA  Enc=AESGCM(128)  
>           Mac=AEAD
> ECDHE-RSA-AES128-GCM-SHA256    TLSv1.2  Kx=ECDH  Au=RSA    Enc=AESGCM(128)  
>           Mac=AEAD
> 
> Как быть с настройками nignx?

Напрямую через конфигурацию nginx настроить шифры для TLSv1.3 
сейчас нельзя - подробнее почитать о том, почему так, можно тут:

https://trac.nginx.org/nginx/ticket/1529

In short: в OpenSSL выпилили управление шифрами для TLSv1.3 из 
стандартного интерфейса, и непонятно, запилят ли обратно.  Делать 
же отдельную директиву аналогично "-ciphersuites" крайне не 
хочется, ибо это выглядит как идиотизм чуть менее, чем полностью.

Если очень хочется - сейчас шифры для TLSv1.3 можно задать через 
конфиг OpenSSL'я, openssl.conf.  Как-то так:

openssl_conf = default_conf

[default_conf]
ssl_conf = ssl_sect

[ssl_sect]
system_default = system_default_sect

[system_default_sect]
Ciphersuites = TLS_CHACHA20_POLY1305_SHA256

-- 
Maxim Dounin
http://mdounin.ru/

Подробная информация о списке рассылки nginx-ru