Hello! On Mon, Nov 05, 2018 at 07:38:46AM -0500, I0Result wrote:
> я смотрю openssl добавил другой параметр для сортировки шифров -ciphersuites > (https://www.openssl.org/docs/man1.1.1/man1/ciphers.html) > Если запускать команду, то шифры начинают приоритезироваться > openssl ciphers -ciphersuites > TLS_CHACHA20_POLY1305_SHA256:TLS_AES_256_GCM_SHA384:TLS_AES_128_GCM_SHA256 > -s -v EECDH+CHACHA20:EECDH+AESGCM | column -t > > TLS_CHACHA20_POLY1305_SHA256 TLSv1.3 Kx=any Au=any > Enc=CHACHA20/POLY1305(256) Mac=AEAD > TLS_AES_256_GCM_SHA384 TLSv1.3 Kx=any Au=any Enc=AESGCM(256) > Mac=AEAD > TLS_AES_128_GCM_SHA256 TLSv1.3 Kx=any Au=any Enc=AESGCM(128) > Mac=AEAD > ECDHE-ECDSA-CHACHA20-POLY1305 TLSv1.2 Kx=ECDH Au=ECDSA > Enc=CHACHA20/POLY1305(256) Mac=AEAD > ECDHE-RSA-CHACHA20-POLY1305 TLSv1.2 Kx=ECDH Au=RSA > Enc=CHACHA20/POLY1305(256) Mac=AEAD > ECDHE-ECDSA-AES256-GCM-SHA384 TLSv1.2 Kx=ECDH Au=ECDSA Enc=AESGCM(256) > Mac=AEAD > ECDHE-RSA-AES256-GCM-SHA384 TLSv1.2 Kx=ECDH Au=RSA Enc=AESGCM(256) > Mac=AEAD > ECDHE-ECDSA-AES128-GCM-SHA256 TLSv1.2 Kx=ECDH Au=ECDSA Enc=AESGCM(128) > Mac=AEAD > ECDHE-RSA-AES128-GCM-SHA256 TLSv1.2 Kx=ECDH Au=RSA Enc=AESGCM(128) > Mac=AEAD > > Как быть с настройками nignx? Напрямую через конфигурацию nginx настроить шифры для TLSv1.3 сейчас нельзя - подробнее почитать о том, почему так, можно тут: https://trac.nginx.org/nginx/ticket/1529 In short: в OpenSSL выпилили управление шифрами для TLSv1.3 из стандартного интерфейса, и непонятно, запилят ли обратно. Делать же отдельную директиву аналогично "-ciphersuites" крайне не хочется, ибо это выглядит как идиотизм чуть менее, чем полностью. Если очень хочется - сейчас шифры для TLSv1.3 можно задать через конфиг OpenSSL'я, openssl.conf. Как-то так: openssl_conf = default_conf [default_conf] ssl_conf = ssl_sect [ssl_sect] system_default = system_default_sect [system_default_sect] Ciphersuites = TLS_CHACHA20_POLY1305_SHA256 -- Maxim Dounin http://mdounin.ru/ _______________________________________________ nginx-ru mailing list nginx-ru@nginx.org http://mailman.nginx.org/mailman/listinfo/nginx-ru