Hello! On Mon, Jan 04, 2021 at 06:03:44PM +0200, Gena Makhomed wrote:
> On 06.07.2020 22:17, Maxim Dounin wrote: > > >> On 29.06.2020 17:07, Maxim Dounin wrote: > >> > >>> Соответственно для включения TLSv1.3 по умолчанию надо решить две > >>> проблемы: > >>> > >>> 1. Сделать решение, которое бы позволило реализовать ту же > >>> семантику "отазаться общаться, не предъявляя сертификата" в > >>> условиях наличия TLSv1.3. > >>> > >>> 2. Придумать решение для существующих конфигураций с "ssl_ciphers > >>> aNULL; return 444;". > >> > >> Эти две проблемы выглядят как в принципе не решаемые > >> в условиях наличия включенного протокола TLSv1.3. > > > > Как минимум первая из этих проблем легко решается возвратом ошибки > > из ngx_http_ssl_servername(). Основной вопрос - что делать со > > второй. И вот тут не совсем понятно, существует ли хорошее > > решение, внешнее по отношению к SSL-библиотеке. > > Первая проблема теперь уже полностью решена, > с появлением директивы ssl_reject_handshake > http://hg.nginx.org/nginx/rev/59e1c73fe02b > > Для существующих конфигураций с "ssl_ciphers aNULL;" можно выдавать > deprecation warning во время проверки конфига и предлагать поменять > этот хак с "ssl_ciphers aNULL;" на директиву ssl_reject_handshake. Выдавать deprecation warning на какие-то сочетания шифров - это выглядит как плохой путь. Кому что надо - тот то и конфигурит. Что до ssl_reject_handshake, то отстоится - и начнём считать, что оно есть, и кому надо - конфиги поменяли. Тогда и задумаемся о включении TLSv1.3 по умолчанию. Логичным выглядит что-нибудь из первых версий 1.21.x. -- Maxim Dounin http://mdounin.ru/ _______________________________________________ nginx-ru mailing list nginx-ru@nginx.org http://mailman.nginx.org/mailman/listinfo/nginx-ru
