<HTML><BODY><p>С дебианом всегда выбор: либо стабильная ветка либо актуальные пакеты (не учитывая варианта добавлять отдельные репозитории)<br><br>Постоянно работал с unstable веткой дебиана и проблем особых не возникало, это, пожалуй, единственная за последний год на моей памяти<br><br>Собсно, проблему решил добавлением файла<br>/etc/apt/preferences.d/ssl<br><br>С содержимым:<br><br>Package: libssl1.1<br>Pin: release o=Debian,a=stable<br>Pin-Priority: 900</p><p>А затем:<br># apt update<br># apt install --reinstall libssl1.1</p><blockquote style="border-left:1px solid #0857A6; margin:10px; padding:0 0 0 10px;">
Воскресенье, 15 октября 2017, 14:10 +03:00 от Иван <nginx@kinetiksoft.com>:<br>
<br>
<div id="">
<div class="js-helper js-readmsg-msg">
<style type="text/css"></style>
<div>
<base target="_self" href="https://e.mail.ru/">
<div id="style_15080658300000000231_BODY">Здравствуйте!<br>
<br>
Не пугайте народ, пожалуйста! Не всех, а только тех, кто по какой-то странной <br>
причине юзает в продакшене debian unstable. _Всех_ дебианщиков это изменение <br>
затронет не раньше конца поддержки stretch, а именно:<br>
approx. 2020 (full) / approx. 2022 (LTS) (<a href="https://wiki.debian.org/" target="_blank">https://wiki.debian.org/</a><br>
DebianReleases)<br>
,<br>
<br>
И тут я полностью согласен с автором данного изменения, а именно в части <br>
> OpenSSL made a release 5 years ago that supported TLS 1.2. The<br>
> current support of the server side seems to be around 90%. I hope<br>
> that by the time Buster releases the support for TLS 1.2 will be<br>
> high enough that I don't need to enable them again.<br>
<br>
С уважением, Иван Прокудин.<br>
<br>
P.S. Хотите экспериментов в продакшене - ставьте gentoo :-D<br>
<br>
В письме от пятница, 13 октября 2017 г. 21:11:22 MSK пользователь Максим <br>
Баштовой написал:<br>
> $ openssl ciphers -v | awk '{print $2}' | sort | uniq<br>
> SSLv3<br>
> TLSv1<br>
> TLSv1.2<br>
> Таки да, сижу на ветке unstable<br>
> Получается, скоро такое ждет всех дебианщиков<br>
> <br>
> >Пятница, 13 октября 2017, 17:45 +03:00 от Dmitriy Kovalkov<br>
> ><<a href="mailto:kovalkov@fastvps.ru">kovalkov@fastvps.ru</a>>:<br>
> ><br>
> >Не, хрень говорю вероятно :(<br>
> ><br>
> >---<br>
> >Respectfully, Dmitrii Kovalkov<br>
> >FASTVPS technical department<br>
> ><br>
> >13 октября 2017 г., 17:41 пользователь Dmitriy Kovalkov < <br>
<a href="mailto:kovalkov@fastvps.ru">kovalkov@fastvps.ru</a> > написал:<br>
> >>Попробуйте выполнить <br>
> >><br>
> >>openssl ciphers -v | awk '{print $2}' | sort | uniq<br>
> >><br>
> >>и посмотреть, в самом openssl какие у Вас TLS есть.<br>
> >><br>
> >>---<br>
> >>Respectfully, Dmitrii Kovalkov<br>
> >>FASTVPS technical department<br>
> >><br>
> >>13 октября 2017 г., 17:31 пользователь kpoxa < <a href="mailto:kpoxa@kpoxa.net">kpoxa@kpoxa.net</a> > написал:<br>
> >>>В debian проблемы нет. У меня не воспроизводится с указанными настройками<br>
> >>>ssl. Проверял на 8 и на 9 релизах дебиана.>>><br>
> >>>13 октября 2017 г., 13:50 пользователь Gena Makhomed < <a href="mailto:gmm@csdoc.com">gmm@csdoc.com</a> > <br>
написал:<br>
> >>>>On 13.10.2017 13:07, Максим Баштовой wrote:<br>
> >>>>>>>почему-то NGINX упорно хочет работать исключительно по TLSv1.2<br>
> >>>>>>>протоколу, отвергая остальные>>>>>><br>
> >>>>>>Если взять дистрибутив nginx с официального сайта<br>
> >>>>>><a href="http://nginx.org/en/linux_packages.html#mainline" target="_blank">http://nginx.org/en/linux_packages.html#mainline</a><br>
> >>>>>>проблема воспроизводится?<br>
> >>>>><br>
> >>>>>Установил с официального репозитория<br>
> >>>>><br>
> >>>>>nginx version: nginx/1.13.6<br>
> >>>>>built by gcc 6.3.0 20170516 (Debian 6.3.0-18)<br>
> >>>>>built with OpenSSL 1.1.0f 25 May 2017<br>
> >>>>><br>
> >>>>>Конфиг тот же, опять только TLSv1.2<br>
> >>>><br>
> >>>>Ясно. Значит проблема в Debian,<br>
> >>>><br>
> >>>><a href="https://lists.debian.org/debian-devel-announce/2017/08/msg00004.html" target="_blank">https://lists.debian.org/debian-devel-announce/2017/08/msg00004.html</a><br>
> >>>><br>
> >>>>рекомендую перейти на CentOS 7.4 - там такие глюки отсутствуют.<br>
> >>>><br>
> >>>>Если же хочется "в гамаке и стоя", тогда придется пересобирать nginx<br>
> >>>>из исходников, используя OpenSSL библиотеку с <a href="https://www.openssl.org/" target="_blank">https://www.openssl.org/</a><br>
> >>><br>
> >>>_______________________________________________<br>
> >>>nginx-ru mailing list<br>
> >>><a href="mailto:nginx-ru@nginx.org">nginx-ru@nginx.org</a><br>
> >>><a href="http://mailman.nginx.org/mailman/listinfo/nginx-ru" target="_blank">http://mailman.nginx.org/mailman/listinfo/nginx-ru</a><br>
> ><br>
> >_______________________________________________<br>
> >nginx-ru mailing list<br>
> ><a href="mailto:nginx-ru@nginx.org">nginx-ru@nginx.org</a><br>
> ><a href="http://mailman.nginx.org/mailman/listinfo/nginx-ru" target="_blank">http://mailman.nginx.org/mailman/listinfo/nginx-ru</a><br>
> <br>
> С уважением,<br>
> Максим Баштовой<br>
> <a href="http://www.sho0ter.com" target="_blank">www.sho0ter.com</a><br>
> <a href="mailto:mail@sho0ter.com">mail@sho0ter.com</a><br>
<br>
_______________________________________________<br>
nginx-ru mailing list<br>
<a href="mailto:nginx-ru@nginx.org">nginx-ru@nginx.org</a><br>
<a href="http://mailman.nginx.org/mailman/listinfo/nginx-ru" target="_blank">http://mailman.nginx.org/mailman/listinfo/nginx-ru</a></div>
<base target="_self" href="https://e.mail.ru/">
</div>
</div>
</div>
</blockquote>
<br>
<br>С уважением,<br>Максим Баштовой<br>www.sho0ter.com<br>mail@sho0ter.com<br></BODY></HTML>