сб, 4 июл. 2020 г. в 22:54, Gena Makhomed <g...@csdoc.com>: > On 29.06.2020 17:07, Maxim Dounin wrote: > > > Соответственно для включения TLSv1.3 по умолчанию надо решить две > > проблемы: >
а в чем профит от включения по умолчанию. у вас скорее всего есть некая система конфигурирования. которая сконфигурирует нужным для вас способом (у нас такая есть) кажется, что нет никаких проблем, чтобы недефолтные настройки прописать в нужные значения. > > > > 1. Сделать решение, которое бы позволило реализовать ту же > > семантику "отазаться общаться, не предъявляя сертификата" в > > условиях наличия TLSv1.3. > > > > 2. Придумать решение для существующих конфигураций с "ssl_ciphers > > aNULL; return 444;". > > Эти две проблемы выглядят как в принципе не решаемые > в условиях наличия включенного протокола TLSv1.3. > > > >>> в TLSv1.3 не настраиваются шифры > >> > >> И если быть уж совсем точным, шифры в TLSv1.3 настраиваются. > >> Точнее в OpenSSL шифры для TLSv1.3 можно настроить. Проблема > >> только в том, что вот разработчики nginx не могут договориться > >> с разработчиками OpenSSL о том, как эти шифры необходимо настраивать. > >> > >> В том же Apache можно без проблем настроить шифры для TLSv1.3: > >> https://httpd.apache.org/docs/current/mod/mod_ssl.html#sslciphersuite > >> > >> Если никак не получается договориться с разработчиками OpenSSL, > >> может быть имеет сделать смысл форк OpenSSL иил написать с нуля > >> свою собственную библиотеку? Ведь когда-то так и nginx появился, > >> когда стало понятно, что apache не подходит для некоторых задач. > >> > >> Или пойти по пути Apache, сделав возможность раздельной настройки > >> шифров для TLSv1.2 и для TLSv1.3 ? Ведь по прошествии такого количества > >> времени уже стало понятно, что разработчики OpenSSL свою точку зрения > >> по этому вопросу менять не собираются и в OpenSSL все будет так же. > > > > В тикете тут: > > > > https://trac.nginx.org/nginx/ticket/1529 > > > > и связанных тикетах - достаточно подробно расписано, что > > настраивается, что не настраивается (в BoringSSL, например, для > > TLSv1.3 не настраивается вообще ничего), и что именно я думаю по > > этому поводу. Не вижу смысла тут повторяться. > > Два года назад Вы написали: > > https://trac.nginx.org/nginx/ticket/1529#comment:1 > > "I don't think that nginx should add support for this interface > before the long-term approach is clear". > > https://trac.nginx.org/nginx/ticket/1529#comment:4 > > For now, solution to configure ciphers as implemented > in OpenSSL 1.1.1-dev looks highly inconsistent, and it is not clear > what they are going to do next. Once there will be a clear > and consistent long-term approach available, we'll consider > what to do with this. > > Теперь, по прошествии двух лет - long-term approach is clear. > > В OpenSSL ничего не изменится, хотя бы потому, > что поддержка нового интерфейса уже встроена в httpd Apache. > > -- > Best regards, > Gena > > _______________________________________________ > nginx-ru mailing list > nginx-ru@nginx.org > http://mailman.nginx.org/mailman/listinfo/nginx-ru
_______________________________________________ nginx-ru mailing list nginx-ru@nginx.org http://mailman.nginx.org/mailman/listinfo/nginx-ru
