ssl_protocols

Gena Makhomed gmm на csdoc.com
Сб Июл 4 17:53:57 UTC 2020 

On 29.06.2020 17:07, Maxim Dounin wrote:

 > Соответственно для включения TLSv1.3 по умолчанию надо решить две
 > проблемы:
 >
 > 1. Сделать решение, которое бы позволило реализовать ту же
 > семантику "отазаться общаться, не предъявляя сертификата" в
 > условиях наличия TLSv1.3.
 >
 > 2. Придумать решение для существующих конфигураций с "ssl_ciphers
 > aNULL; return 444;".

Эти две проблемы выглядят как в принципе не решаемые
в условиях наличия включенного протокола TLSv1.3.


>>> в TLSv1.3 не настраиваются шифры
>>
>> И если быть уж совсем точным, шифры в TLSv1.3 настраиваются.
>> Точнее в OpenSSL шифры для TLSv1.3 можно настроить. Проблема
>> только в том, что вот разработчики nginx не могут договориться
>> с разработчиками OpenSSL о том, как эти шифры необходимо настраивать.
>>
>> В том же Apache можно без проблем настроить шифры для TLSv1.3:
>> https://httpd.apache.org/docs/current/mod/mod_ssl.html#sslciphersuite
>>
>> Если никак не получается договориться с разработчиками OpenSSL,
>> может быть имеет сделать смысл форк OpenSSL иил написать с нуля
>> свою собственную библиотеку? Ведь когда-то так и nginx появился,
>> когда стало понятно, что apache не подходит для некоторых задач.
>>
>> Или пойти по пути Apache, сделав возможность раздельной настройки
>> шифров для TLSv1.2 и для TLSv1.3 ? Ведь по прошествии такого количества
>> времени уже стало понятно, что разработчики OpenSSL свою точку зрения
>> по этому вопросу менять не собираются и в OpenSSL все будет так же.
> 
> В тикете тут:
> 
> https://trac.nginx.org/nginx/ticket/1529
> 
> и связанных тикетах - достаточно подробно расписано, что
> настраивается, что не настраивается (в BoringSSL, например, для
> TLSv1.3 не настраивается вообще ничего), и что именно я думаю по
> этому поводу.  Не вижу смысла тут повторяться.

Два года назад Вы написали:

https://trac.nginx.org/nginx/ticket/1529#comment:1

"I don't think that nginx should add support for this interface
before the long-term approach is clear".

https://trac.nginx.org/nginx/ticket/1529#comment:4

For now, solution to configure ciphers as implemented
in OpenSSL 1.1.1-dev looks highly inconsistent, and it is not clear
what they are going to do next. Once there will be a clear
and consistent long-term approach available, we'll consider
what to do with this.

Теперь, по прошествии двух лет - long-term approach is clear.

В OpenSSL ничего не изменится, хотя бы потому,
что поддержка нового интерфейса уже встроена в httpd Apache.

-- 
Best regards,
  Gena

Подробная информация о списке рассылки nginx-ru