Welcome! Log In Create A New Profile

Advanced

Re: ssl_protocols

Maxim Dounin
June 25, 2020 03:28PM
Hello!

On Thu, Jun 25, 2020 at 09:23:35PM +0300, Gena Makhomed wrote:

> Максим, а почему такое значение по-умолчанию у директивы ssl_protocols?
>
> В частности, протокол TLSv1.3 выключен, но вместо него включены
> протоколы TLSv1 и TLSv1.1 - сейчас ведь наоборот рекомендуют делать.
>
> Даже RFC вышел соответствующий еще в мае 2015 года,
> https://tools.ietf.org/html/rfc7525#section-3.1.1

Just in case, по ссылке для TLSv1.0 и TLSv1.1 чётко сказано: "the
only exception is when no higher version is available in the
negotiation". Именно так nginx и работает по умолчанию.

> И такие же настройки рекомендуются https://ssl-config.mozilla.org/
>
> Почему бы не сделать ssl_protocols TLSv1.2 TLSv1.3; значением по-умолчанию в nginx?

Тут, на самом деле, два вопроса:

1. А не запретить ли TLSv1.0 и TLSv1.1 по умолчанию. Мне это пока
кажется плохой идеей, ибо клиентов, не умеющих TLSv1.2 всё ещё
много. Подробный ответ тут:

https://trac.nginx.org/nginx/ticket/1911#comment:2

2. А не разрешить ли TLSv1.3 по умолчанию. Сейчас для этого как
минимум один блокер - в TLSv1.3 не настраиваются шифры и в
результате сломаются конфиги с "ssl_ciphers aNULL;", подробнее
тут:

http://mailman.nginx.org/pipermail/nginx/2018-November/057194.html

--
Maxim Dounin
http://mdounin.ru/
_______________________________________________
nginx-ru mailing list
nginx-ru@nginx.org
http://mailman.nginx.org/mailman/listinfo/nginx-ru
Subject Author Posted

ssl_protocols

Gena Makhomed June 25, 2020 02:24PM

Re: ssl_protocols

Maxim Dounin June 25, 2020 03:28PM

Re: ssl_protocols

Gena Makhomed June 28, 2020 02:28PM

Re: ssl_protocols

Maxim Dounin June 29, 2020 10:10AM

Re: ssl_protocols

Gena Makhomed July 04, 2020 01:54PM

Re: ssl_protocols

Илья Шипицин July 04, 2020 03:52PM

Re: ssl_protocols

Maxim Dounin July 06, 2020 03:18PM



Sorry, only registered users may post in this forum.

Click here to login

Online Users

Guests: 81
Record Number of Users: 6 on February 13, 2018
Record Number of Guests: 421 on December 02, 2018
Powered by nginx      Powered by FreeBSD      PHP Powered      Powered by MariaDB      ipv6 ready