Hello! On Thu, Jun 25, 2020 at 09:23:35PM +0300, Gena Makhomed wrote:
> Максим, а почему такое значение по-умолчанию у директивы ssl_protocols? > > В частности, протокол TLSv1.3 выключен, но вместо него включены > протоколы TLSv1 и TLSv1.1 - сейчас ведь наоборот рекомендуют делать. > > Даже RFC вышел соответствующий еще в мае 2015 года, > https://tools.ietf.org/html/rfc7525#section-3.1.1 Just in case, по ссылке для TLSv1.0 и TLSv1.1 чётко сказано: "the only exception is when no higher version is available in the negotiation". Именно так nginx и работает по умолчанию. > И такие же настройки рекомендуются https://ssl-config.mozilla.org/ > > Почему бы не сделать ssl_protocols TLSv1.2 TLSv1.3; значением по-умолчанию в > nginx? Тут, на самом деле, два вопроса: 1. А не запретить ли TLSv1.0 и TLSv1.1 по умолчанию. Мне это пока кажется плохой идеей, ибо клиентов, не умеющих TLSv1.2 всё ещё много. Подробный ответ тут: https://trac.nginx.org/nginx/ticket/1911#comment:2 2. А не разрешить ли TLSv1.3 по умолчанию. Сейчас для этого как минимум один блокер - в TLSv1.3 не настраиваются шифры и в результате сломаются конфиги с "ssl_ciphers aNULL;", подробнее тут: http://mailman.nginx.org/pipermail/nginx/2018-November/057194.html -- Maxim Dounin http://mdounin.ru/ _______________________________________________ nginx-ru mailing list nginx-ru@nginx.org http://mailman.nginx.org/mailman/listinfo/nginx-ru
