Re: параллельные сертификаты ECDSA/RSA и @SECLEVEL
edo1
nginx-forum на forum.nginx.org
Ср Июн 29 00:30:30 UTC 2022
да, спасибо, я как раз писал, что уже понял.
при таком конфиге сервера:
ssl_protocols TLSv1;
ssl_ciphers ECDHE-ECDSA-AES128-SHA:AES128-SHA;
ssl_prefer_server_ciphers on;
если запускаем
openssl s_client -tls1
то от клиента приходит запрос, в котором есть шифр ECDHE-ECDSA-AES128-SHA,
сервер выбирает его, но не может использовать из-за SECLEVEL, выдаёт такой
ответ:
Transport Layer Security
TLSv1 Record Layer: Alert (Level: Fatal, Description: Internal Error)
Content Type: Alert (21)
Version: TLS 1.0 (0x0301)
Length: 2
Alert Message
Level: Fatal (2)
Description: Internal Error (80)
если же мы запускаем
openssl s_client -cipher AES128-SHA -tls1
то сервер соглашается на AES128-SHA и всё работает.
Posted at Nginx Forum: https://forum.nginx.org/read.php?21,294596,294609#msg-294609
Подробная информация о списке рассылки nginx-ru