ssl_protocols
Илья Шипицин
chipitsine на gmail.com
Сб Июл 4 19:50:45 UTC 2020
сб, 4 июл. 2020 г. в 22:54, Gena Makhomed <gmm на csdoc.com>:
> On 29.06.2020 17:07, Maxim Dounin wrote:
>
> > Соответственно для включения TLSv1.3 по умолчанию надо решить две
> > проблемы:
>
а в чем профит от включения по умолчанию.
у вас скорее всего есть некая система конфигурирования. которая
сконфигурирует нужным для вас способом (у нас такая есть)
кажется, что нет никаких проблем, чтобы недефолтные настройки прописать в
нужные значения.
> >
> > 1. Сделать решение, которое бы позволило реализовать ту же
> > семантику "отазаться общаться, не предъявляя сертификата" в
> > условиях наличия TLSv1.3.
> >
> > 2. Придумать решение для существующих конфигураций с "ssl_ciphers
> > aNULL; return 444;".
>
> Эти две проблемы выглядят как в принципе не решаемые
> в условиях наличия включенного протокола TLSv1.3.
>
>
> >>> в TLSv1.3 не настраиваются шифры
> >>
> >> И если быть уж совсем точным, шифры в TLSv1.3 настраиваются.
> >> Точнее в OpenSSL шифры для TLSv1.3 можно настроить. Проблема
> >> только в том, что вот разработчики nginx не могут договориться
> >> с разработчиками OpenSSL о том, как эти шифры необходимо настраивать.
> >>
> >> В том же Apache можно без проблем настроить шифры для TLSv1.3:
> >> https://httpd.apache.org/docs/current/mod/mod_ssl.html#sslciphersuite
> >>
> >> Если никак не получается договориться с разработчиками OpenSSL,
> >> может быть имеет сделать смысл форк OpenSSL иил написать с нуля
> >> свою собственную библиотеку? Ведь когда-то так и nginx появился,
> >> когда стало понятно, что apache не подходит для некоторых задач.
> >>
> >> Или пойти по пути Apache, сделав возможность раздельной настройки
> >> шифров для TLSv1.2 и для TLSv1.3 ? Ведь по прошествии такого количества
> >> времени уже стало понятно, что разработчики OpenSSL свою точку зрения
> >> по этому вопросу менять не собираются и в OpenSSL все будет так же.
> >
> > В тикете тут:
> >
> > https://trac.nginx.org/nginx/ticket/1529
> >
> > и связанных тикетах - достаточно подробно расписано, что
> > настраивается, что не настраивается (в BoringSSL, например, для
> > TLSv1.3 не настраивается вообще ничего), и что именно я думаю по
> > этому поводу. Не вижу смысла тут повторяться.
>
> Два года назад Вы написали:
>
> https://trac.nginx.org/nginx/ticket/1529#comment:1
>
> "I don't think that nginx should add support for this interface
> before the long-term approach is clear".
>
> https://trac.nginx.org/nginx/ticket/1529#comment:4
>
> For now, solution to configure ciphers as implemented
> in OpenSSL 1.1.1-dev looks highly inconsistent, and it is not clear
> what they are going to do next. Once there will be a clear
> and consistent long-term approach available, we'll consider
> what to do with this.
>
> Теперь, по прошествии двух лет - long-term approach is clear.
>
> В OpenSSL ничего не изменится, хотя бы потому,
> что поддержка нового интерфейса уже встроена в httpd Apache.
>
> --
> Best regards,
> Gena
>
> _______________________________________________
> nginx-ru mailing list
> nginx-ru на nginx.org
> http://mailman.nginx.org/mailman/listinfo/nginx-ru
----------- следущая часть -----------
Вложение в формате HTML было извлечено…
URL: <http://mailman.nginx.org/pipermail/nginx-ru/attachments/20200705/b6e22e36/attachment.htm>
Подробная информация о списке рассылки nginx-ru