Re: Проблема с поддержкой старых протоколов после обновления

Максим Баштовой mail на sho0ter.com
Вс Окт 15 22:00:00 UTC 2017 

С дебианом всегда выбор: либо стабильная ветка либо актуальные пакеты (не учитывая варианта добавлять отдельные репозитории)

Постоянно работал с unstable веткой дебиана и проблем особых не возникало, это, пожалуй, единственная за последний год на моей памяти

Собсно, проблему решил добавлением файла
/etc/apt/preferences.d/ssl

С содержимым:

Package: libssl1.1
Pin: release o=Debian,a=stable
Pin-Priority: 900
А затем:
# apt update
# apt install --reinstall libssl1.1 
>Воскресенье, 15 октября 2017, 14:10 +03:00 от Иван <nginx на kinetiksoft.com>:
>
>Здравствуйте!
>
>Не пугайте народ, пожалуйста! Не всех, а только тех, кто по какой-то странной 
>причине юзает в продакшене debian unstable. _Всех_ дебианщиков это изменение 
>затронет не раньше конца поддержки stretch, а именно:
>approx. 2020 (full) / approx. 2022 (LTS) ( https://wiki.debian.org/
>DebianReleases)
>,
>
>И тут я полностью согласен с автором данного изменения, а именно в части 
>> OpenSSL made a release 5 years ago that supported TLS 1.2. The
>> current support of the server side seems to be around 90%. I hope
>> that by the time Buster releases the support for TLS 1.2 will be
>> high enough that I don't need to enable them again.
>
>С уважением, Иван Прокудин.
>
>P.S. Хотите экспериментов в продакшене - ставьте gentoo :-D
>
>В письме от пятница, 13 октября 2017 г. 21:11:22 MSK пользователь Максим 
>Баштовой написал:
>> $ openssl ciphers -v | awk '{print $2}' | sort | uniq
>> SSLv3
>> TLSv1
>> TLSv1.2
>> Таки да, сижу на ветке unstable
>> Получается, скоро такое ждет всех дебианщиков
>> 
>> >Пятница, 13 октября 2017, 17:45 +03:00 от Dmitriy Kovalkov
>> >< kovalkov на fastvps.ru >:
>> >
>> >Не, хрень говорю вероятно :(
>> >
>> >---
>> >Respectfully, Dmitrii Kovalkov
>> >FASTVPS technical department
>> >
>> >13 октября 2017 г., 17:41 пользователь Dmitriy Kovalkov  < 
>kovalkov на fastvps.ru > написал:
>> >>Попробуйте выполнить 
>> >>
>> >>openssl ciphers -v | awk '{print $2}' | sort | uniq
>> >>
>> >>и посмотреть, в самом openssl какие у Вас TLS есть.
>> >>
>> >>---
>> >>Respectfully, Dmitrii Kovalkov
>> >>FASTVPS technical department
>> >>
>> >>13 октября 2017 г., 17:31 пользователь kpoxa  <  kpoxa на kpoxa.net > написал:
>> >>>В debian проблемы нет. У меня не воспроизводится с указанными настройками
>> >>>ssl. Проверял на 8 и на 9 релизах дебиана.>>>
>> >>>13 октября 2017 г., 13:50 пользователь Gena Makhomed  <  gmm на csdoc.com > 
>написал:
>> >>>>On 13.10.2017 13:07, Максим Баштовой wrote:
>> >>>>>>>почему-то NGINX упорно хочет работать исключительно по TLSv1.2
>> >>>>>>>протоколу, отвергая остальные>>>>>>
>> >>>>>>Если взять дистрибутив nginx с официального сайта
>> >>>>>> http://nginx.org/en/linux_packages.html#mainline
>> >>>>>>проблема воспроизводится?
>> >>>>>
>> >>>>>Установил с официального репозитория
>> >>>>>
>> >>>>>nginx version: nginx/1.13.6
>> >>>>>built by gcc 6.3.0 20170516 (Debian 6.3.0-18)
>> >>>>>built with OpenSSL 1.1.0f  25 May 2017
>> >>>>>
>> >>>>>Конфиг тот же, опять только TLSv1.2
>> >>>>
>> >>>>Ясно. Значит проблема в Debian,
>> >>>>
>> >>>> https://lists.debian.org/debian-devel-announce/2017/08/msg00004.html
>> >>>>
>> >>>>рекомендую перейти на CentOS 7.4 - там такие глюки отсутствуют.
>> >>>>
>> >>>>Если же хочется "в гамаке и стоя", тогда придется пересобирать nginx
>> >>>>из исходников, используя OpenSSL библиотеку с  https://www.openssl.org/
>> >>>
>> >>>_______________________________________________
>> >>>nginx-ru mailing list
>> >>> nginx-ru на nginx.org
>> >>> http://mailman.nginx.org/mailman/listinfo/nginx-ru
>> >
>> >_______________________________________________
>> >nginx-ru mailing list
>> > nginx-ru на nginx.org
>> > http://mailman.nginx.org/mailman/listinfo/nginx-ru
>> 
>> С уважением,
>> Максим Баштовой
>>  www.sho0ter.com
>>  mail на sho0ter.com
>
>_______________________________________________
>nginx-ru mailing list
>nginx-ru на nginx.org
>http://mailman.nginx.org/mailman/listinfo/nginx-ru

С уважением,
Максим Баштовой
www.sho0ter.com
mail на sho0ter.com
----------- следущая часть -----------
Вложение в формате HTML было извлечено…
URL: <http://mailman.nginx.org/pipermail/nginx-ru/attachments/20171016/b9f79ac8/attachment.html>

Подробная информация о списке рассылки nginx-ru