ssl_protocols

Чт Июн 25 19:27:07 UTC 2020

Hello!

On Thu, Jun 25, 2020 at 09:23:35PM +0300, Gena Makhomed wrote:

> Максим, а почему такое значение по-умолчанию у директивы ssl_protocols?
> 
> В частности, протокол TLSv1.3 выключен, но вместо него включены
> протоколы TLSv1 и TLSv1.1 - сейчас ведь наоборот рекомендуют делать.
> 
> Даже RFC вышел соответствующий еще в мае 2015 года,
> https://tools.ietf.org/html/rfc7525#section-3.1.1

Just in case, по ссылке для TLSv1.0 и TLSv1.1 чётко сказано: "the 
only exception is when no higher version is available in the 
negotiation".  Именно так nginx и работает по умолчанию.

> И такие же настройки рекомендуются https://ssl-config.mozilla.org/
> 
> Почему бы не сделать ssl_protocols TLSv1.2 TLSv1.3; значением по-умолчанию в nginx?

Тут, на самом деле, два вопроса:

1. А не запретить ли TLSv1.0 и TLSv1.1 по умолчанию.  Мне это пока 
кажется плохой идеей, ибо клиентов, не умеющих TLSv1.2 всё ещё 
много.  Подробный ответ тут:

https://trac.nginx.org/nginx/ticket/1911#comment:2

2. А не разрешить ли TLSv1.3 по умолчанию.  Сейчас для этого как 
минимум один блокер - в TLSv1.3 не настраиваются шифры и в 
результате сломаются конфиги с "ssl_ciphers aNULL;", подробнее 
тут:

http://mailman.nginx.org/pipermail/nginx/2018-November/057194.html

-- 
Maxim Dounin
http://mdounin.ru/