Re: Поддержка TLS1.3

Maxim Dounin mdounin на mdounin.ru
Пн Окт 29 12:30:09 UTC 2018 

Hello!

On Sat, Oct 27, 2018 at 02:19:43PM -0400, analytic wrote:

> Всем привет.
> Ситуация следующая. Собрал nginx 1.15.5 с openssl 1.1.1.
> 
> nginx version: nginx/1.15.5
> built by gcc 5.4.0 20160609 (Ubuntu 5.4.0-6ubuntu1~16.04.10)
> built with OpenSSL 1.1.1  11 Sep 2018
> TLS SNI support enabled
> configure arguments: --with-cc-opt='-g -O2 -fPIE -fstack-protector-strong
> -Wformat -Werror=format-security -fPIC -Wdate-time -D_FORTIFY_SOURCE=2'
> --with-ld-opt='-Wl,-Bsymbolic-functions -fPIE -pie -Wl,-z,relro -Wl,-z,now
> -fPIC' --prefix=/etc/nginx --sbin-path=/usr/sbin/nginx
> --modules-path=/usr/lib/nginx/modules --conf-path=/etc/nginx/nginx.conf
> --error-log-path=/var/log/nginx/error.log
> --http-log-path=/var/log/nginx/access.log --pid-path=/run/nginx.pid
> --lock-path=/run/lock/nginx.lock
> --http-client-body-temp-path=/var/cache/nginx/client_temp
> --http-proxy-temp-path=/var/cache/nginx/proxy_temp
> --http-fastcgi-temp-path=/var/cache/nginx/fastcgi_temp
> --http-uwsgi-temp-path=/var/cache/nginx/uwsgi_temp
> --http-scgi-temp-path=/var/cache/nginx/scgi_temp --user=www-data
> --group=www-data --with-http_ssl_module --with-http_realip_module
> --with-http_addition_module --with-http_sub_module --with-http_dav_module
> --with-http_flv_module --with-http_gunzip_module
> --with-http_gzip_static_module --with-http_random_index_module
> --with-http_secure_link_module --with-http_stub_status_module
> --with-http_auth_request_module --with-http_slice_module --with-threads
> --with-stream --with-stream_ssl_module --with-mail --with-mail_ssl_module
> --with-file-aio --with-http_v2_module
> --with-openssl=/opt/cpf/nginx/nginx-1.15.5/openssl-1.1.1
> --with-openssl-opt=enable-tls1_3
> --add-module=/opt/cpf/nginx/nginx-1.15.5/brotli
> --add-module=/opt/cpf/nginx/nginx-1.15.5/ngx_cache_purge-2.3
> 
> Включил в настройках поддержку TLS1.3
> 
> ssl_protocols TLSv1 TLSv1.1 TLSv1.2 TLSv1.3; # Dropping SSLv3, ref: POODLE
>         ssl_prefer_server_ciphers on;
>         ssl_session_cache   shared:SSL:10m;
>         ssl_session_timeout 10m;
>         ssl_ciphers 'TLS13-CHACHA20-POLY1305-SHA256:TLS13-AES-128-GCM-
> SHA256:TLS13-AES-256-GCM-SHA384:ECDHE:!COMPLEMENTOFDEFAULT';
> 
> Однако при проверки через ssllabs.com TLS1.3 нет. Что еще нужно сделать, что
> бы заработал этот TLS1.3?
> Я правильно понимаю, что Nginx собирается со статической версией OpenSSL и
> это дает ему независимость от версии OpenSSL в операционной системе?
> 
> P.S. Проверил cloudflare.com все через тот же ssllabs.com, там поддержка
> TLS1.3 есть.

AFAIK, ssllabs.com пока не научился корректно тестировать 
поддержку TLS 1.3, и умеет только Draft 28.  Попробуйте 
dev.ssllabs.com, возможно там уже.  Подробнее в этих тикетах, 
например:

https://github.com/ssllabs/ssllabs-scan/issues/651
https://github.com/ssllabs/ssllabs-scan/issues/641

Но вообще я бы не рекомендовал полагаться в таких вопросах на SSL 
Labs.  Пользуйтесь "openssl s_client" от OpenSSL 1.1.1 (с которым 
и собрали nginx).

-- 
Maxim Dounin
http://mdounin.ru/

Подробная информация о списке рассылки nginx-ru