<div dir="ltr"><div dir="ltr"><br></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">сб, 4 июл. 2020 г. в 22:54, Gena Makhomed <<a href="mailto:gmm@csdoc.com">gmm@csdoc.com</a>>:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">On 29.06.2020 17:07, Maxim Dounin wrote:<br>
<br>
 > Соответственно для включения TLSv1.3 по умолчанию надо решить две<br>
 > проблемы:<br></blockquote><div><br></div><div><br></div><div>а в чем профит от включения по умолчанию.</div><div>у вас скорее всего есть некая система конфигурирования. которая сконфигурирует нужным для вас способом (у нас такая есть)</div><div>кажется, что нет никаких проблем, чтобы недефолтные настройки прописать в нужные значения.<br></div><div> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">
 ><br>
 > 1. Сделать решение, которое бы позволило реализовать ту же<br>
 > семантику "отазаться общаться, не предъявляя сертификата" в<br>
 > условиях наличия TLSv1.3.<br>
 ><br>
 > 2. Придумать решение для существующих конфигураций с "ssl_ciphers<br>
 > aNULL; return 444;".<br>
<br>
Эти две проблемы выглядят как в принципе не решаемые<br>
в условиях наличия включенного протокола TLSv1.3.<br>
<br>
<br>
>>> в TLSv1.3 не настраиваются шифры<br>
>><br>
>> И если быть уж совсем точным, шифры в TLSv1.3 настраиваются.<br>
>> Точнее в OpenSSL шифры для TLSv1.3 можно настроить. Проблема<br>
>> только в том, что вот разработчики nginx не могут договориться<br>
>> с разработчиками OpenSSL о том, как эти шифры необходимо настраивать.<br>
>><br>
>> В том же Apache можно без проблем настроить шифры для TLSv1.3:<br>
>> <a href="https://httpd.apache.org/docs/current/mod/mod_ssl.html#sslciphersuite" rel="noreferrer" target="_blank">https://httpd.apache.org/docs/current/mod/mod_ssl.html#sslciphersuite</a><br>
>><br>
>> Если никак не получается договориться с разработчиками OpenSSL,<br>
>> может быть имеет сделать смысл форк OpenSSL иил написать с нуля<br>
>> свою собственную библиотеку? Ведь когда-то так и nginx появился,<br>
>> когда стало понятно, что apache не подходит для некоторых задач.<br>
>><br>
>> Или пойти по пути Apache, сделав возможность раздельной настройки<br>
>> шифров для TLSv1.2 и для TLSv1.3 ? Ведь по прошествии такого количества<br>
>> времени уже стало понятно, что разработчики OpenSSL свою точку зрения<br>
>> по этому вопросу менять не собираются и в OpenSSL все будет так же.<br>
> <br>
> В тикете тут:<br>
> <br>
> <a href="https://trac.nginx.org/nginx/ticket/1529" rel="noreferrer" target="_blank">https://trac.nginx.org/nginx/ticket/1529</a><br>
> <br>
> и связанных тикетах - достаточно подробно расписано, что<br>
> настраивается, что не настраивается (в BoringSSL, например, для<br>
> TLSv1.3 не настраивается вообще ничего), и что именно я думаю по<br>
> этому поводу.  Не вижу смысла тут повторяться.<br>
<br>
Два года назад Вы написали:<br>
<br>
<a href="https://trac.nginx.org/nginx/ticket/1529#comment:1" rel="noreferrer" target="_blank">https://trac.nginx.org/nginx/ticket/1529#comment:1</a><br>
<br>
"I don't think that nginx should add support for this interface<br>
before the long-term approach is clear".<br>
<br>
<a href="https://trac.nginx.org/nginx/ticket/1529#comment:4" rel="noreferrer" target="_blank">https://trac.nginx.org/nginx/ticket/1529#comment:4</a><br>
<br>
For now, solution to configure ciphers as implemented<br>
in OpenSSL 1.1.1-dev looks highly inconsistent, and it is not clear<br>
what they are going to do next. Once there will be a clear<br>
and consistent long-term approach available, we'll consider<br>
what to do with this.<br>
<br>
Теперь, по прошествии двух лет - long-term approach is clear.<br>
<br>
В OpenSSL ничего не изменится, хотя бы потому,<br>
что поддержка нового интерфейса уже встроена в httpd Apache.<br>
<br>
-- <br>
Best regards,<br>
  Gena<br>
<br>
_______________________________________________<br>
nginx-ru mailing list<br>
<a href="mailto:nginx-ru@nginx.org" target="_blank">nginx-ru@nginx.org</a><br>
<a href="http://mailman.nginx.org/mailman/listinfo/nginx-ru" rel="noreferrer" target="_blank">http://mailman.nginx.org/mailman/listinfo/nginx-ru</a></blockquote></div></div>