ssl_protocols

[Maxim Dounin]

Hello!

On Mon, Jan 04, 2021 at 06:03:44PM +0200, Gena Makhomed wrote:

> On 06.07.2020 22:17, Maxim Dounin wrote:
> 
> >> On 29.06.2020 17:07, Maxim Dounin wrote:
> >>
> >>> Соответственно для включения TLSv1.3 по умолчанию надо решить две
> >>> проблемы:
> >>>
> >>> 1. Сделать решение, которое бы позволило реализовать ту же
> >>> семантику "отазаться общаться, не предъявляя сертификата" в
> >>> условиях наличия TLSv1.3.
> >>>
> >>> 2. Придумать решение для существующих конфигураций с "ssl_ciphers
> >>> aNULL; return 444;".
> >>
> >> Эти две проблемы выглядят как в принципе не решаемые
> >> в условиях наличия включенного протокола TLSv1.3.
> > 
> > Как минимум первая из этих проблем легко решается возвратом ошибки
> > из ngx_http_ssl_servername().  Основной вопрос - что делать со
> > второй.  И вот тут не совсем понятно, существует ли хорошее
> > решение, внешнее по отношению к SSL-библиотеке.
> 
> Первая проблема теперь уже полностью решена,
> с появлением директивы ssl_reject_handshake
> http://hg.nginx.org/nginx/rev/59e1c73fe02b
> 
> Для существующих конфигураций с "ssl_ciphers aNULL;" можно выдавать
> deprecation warning во время проверки конфига и предлагать поменять
> этот хак с "ssl_ciphers aNULL;" на директиву ssl_reject_handshake.

Выдавать deprecation warning на какие-то сочетания шифров - это 
выглядит как плохой путь.  Кому что надо - тот то и конфигурит.

Что до ssl_reject_handshake, то отстоится - и начнём считать, что 
оно есть, и кому надо - конфиги поменяли.  Тогда и задумаемся о 
включении TLSv1.3 по умолчанию.   Логичным выглядит что-нибудь из 
первых версий 1.21.x.

-- 
Maxim Dounin
http://mdounin.ru/