Re: Протокол TLSv1.3 и директива ssl_reject_handshake в сервере по-умолчанию
Gena Makhomed
gmm на csdoc.com
Чт Янв 28 09:56:05 UTC 2021
On 28.01.2021 6:08, damir bikmuhametov wrote:
>> Протокол TLSv1.3 включен, но если в сервере по умолчанию прописать
>> директиву "ssl_reject_handshake on;" тогда протокол TLSv1.3 перестает
>> работать для всех серверов.
> https://forum.nginx.org/read.php?2,290250 оно?
да.
Вот ссылка на архив списка рассылки, которая работает без ошибок:
http://mailman.nginx.org/pipermail/nginx/2020-December/060251.html
==================================================================
P.S.
Кстати, certbot начиная с версии 1.10
научился генерировать ECDSA сертификаты:
https://certbot.eff.org/docs/using.html#using-ecdsa-keys
И как оказалось он поддерживает файл конфигурации
/etc/letsencrypt/cli.ini в котором можно прописать
значение по-умолчанию для многих параметров командной строки.
Например:
# cat /etc/letsencrypt/cli.ini
key-type = ecdsa
elliptic-curve = secp256r1
authenticator = webroot
webroot-path = /opt/letsencrypt
agree-tos = True
reuse-key = False
no-eff-email = True
========================================
тогда новый ecdsa сертификат можно выпустить
с помощью команды
certbot certonly -d example.com -d www.example.com
а существующий RSA - переделать на ECDSA с помощью команды
certbot certonly --cert-name example.com -d example.com -d www.example.com
--
Best regards,
Gena
Подробная информация о списке рассылки nginx-ru