Hello!
On Sat, Oct 27, 2018 at 02:19:43PM -0400, analytic wrote:
> Всем привет.
> Ситуация следующая. Собрал nginx 1.15.5 с openssl 1.1.1.
>
> nginx version: nginx/1.15.5
> built by gcc 5.4.0 20160609 (Ubuntu 5.4.0-6ubuntu1~16.04.10)
> built with OpenSSL 1.1.1 11 Sep 2018
> TLS SNI support enabled
> configure arguments: --with-cc-opt='-g -O2 -fPIE -fstack-protector-strong
> -Wformat -Werror=format-security -fPIC -Wdate-time -D_FORTIFY_SOURCE=2'
> --with-ld-opt='-Wl,-Bsymbolic-functions -fPIE -pie -Wl,-z,relro -Wl,-z,now
> -fPIC' --prefix=/etc/nginx --sbin-path=/usr/sbin/nginx
> --modules-path=/usr/lib/nginx/modules --conf-path=/etc/nginx/nginx.conf
> --error-log-path=/var/log/nginx/error.log
> --http-log-path=/var/log/nginx/access.log --pid-path=/run/nginx.pid
> --lock-path=/run/lock/nginx.lock
> --http-client-body-temp-path=/var/cache/nginx/client_temp
> --http-proxy-temp-path=/var/cache/nginx/proxy_temp
> --http-fastcgi-temp-path=/var/cache/nginx/fastcgi_temp
> --http-uwsgi-temp-path=/var/cache/nginx/uwsgi_temp
> --http-scgi-temp-path=/var/cache/nginx/scgi_temp --user=www-data
> --group=www-data --with-http_ssl_module --with-http_realip_module
> --with-http_addition_module --with-http_sub_module --with-http_dav_module
> --with-http_flv_module --with-http_gunzip_module
> --with-http_gzip_static_module --with-http_random_index_module
> --with-http_secure_link_module --with-http_stub_status_module
> --with-http_auth_request_module --with-http_slice_module --with-threads
> --with-stream --with-stream_ssl_module --with-mail --with-mail_ssl_module
> --with-file-aio --with-http_v2_module
> --with-openssl=/opt/cpf/nginx/nginx-1.15.5/openssl-1.1.1
> --with-openssl-opt=enable-tls1_3
> --add-module=/opt/cpf/nginx/nginx-1.15.5/brotli
> --add-module=/opt/cpf/nginx/nginx-1.15.5/ngx_cache_purge-2.3
>
> Включил в настройках поддержку TLS1.3
>
> ssl_protocols TLSv1 TLSv1.1 TLSv1.2 TLSv1.3; # Dropping SSLv3, ref: POODLE
> ssl_prefer_server_ciphers on;
> ssl_session_cache shared:SSL:10m;
> ssl_session_timeout 10m;
> ssl_ciphers 'TLS13-CHACHA20-POLY1305-SHA256:TLS13-AES-128-GCM-
> SHA256:TLS13-AES-256-GCM-SHA384:ECDHE:!COMPLEMENTOFDEFAULT';
>
> Однако при проверки через ssllabs.com TLS1.3 нет. Что еще нужно сделать, что
> бы заработал этот TLS1.3?
> Я правильно понимаю, что Nginx собирается со статической версией OpenSSL и
> это дает ему независимость от версии OpenSSL в операционной системе?
>
> P.S. Проверил cloudflare.com все через тот же ssllabs.com, там поддержка
> TLS1.3 есть.
AFAIK, ssllabs.com пока не научился корректно тестировать
поддержку TLS 1.3, и умеет только Draft 28. Попробуйте
dev.ssllabs.com, возможно там уже. Подробнее в этих тикетах,
например:
https://github.com/ssllabs/ssllabs-scan/issues/651
https://github.com/ssllabs/ssllabs-scan/issues/641
Но вообще я бы не рекомендовал полагаться в таких вопросах на SSL
Labs. Пользуйтесь "openssl s_client" от OpenSSL 1.1.1 (с которым
и собрали nginx).
--
Maxim Dounin
http://mdounin.ru/
_______________________________________________
nginx-ru mailing list
nginx-ru@nginx.org
http://mailman.nginx.org/mailman/listinfo/nginx-ru
