Hello!

On Thu, Jun 25, 2020 at 09:23:35PM +0300, Gena Makhomed wrote:

> Максим, а почему такое значение по-умолчанию у директивы ssl_protocols?
>
> В частности, протокол TLSv1.3 выключен, но вместо него включены
> протоколы TLSv1 и TLSv1.1 - сейчас ведь наоборот рекомендуют делать.
>
> Даже RFC вышел соответствующий еще в мае 2015 года,
> https://tools.ietf.org/html/rfc7525#section-3.1.1

Just in case, по ссылке для TLSv1.0 и TLSv1.1 чётко сказано: "the
only exception is when no higher version is available in the
negotiation". Именно так nginx и работает по умолчанию.

> И такие же настройки рекомендуются https://ssl-config.mozilla.org/
>
> Почему бы не сделать ssl_protocols TLSv1.2 TLSv1.3; значением по-умолчанию в nginx?

Тут, на самом деле, два вопроса:

1. А не запретить ли TLSv1.0 и TLSv1.1 по умолчанию. Мне это пока
кажется плохой идеей, ибо клиентов, не умеющих TLSv1.2 всё ещё
много. Подробный ответ тут:

https://trac.nginx.org/nginx/ticket/1911#comment:2

2. А не разрешить ли TLSv1.3 по умолчанию. Сейчас для этого как
минимум один блокер - в TLSv1.3 не настраиваются шифры и в
результате сломаются конфиги с "ssl_ciphers aNULL;", подробнее
тут:

http://mailman.nginx.org/pipermail/nginx/2018-November/057194.html

--
Maxim Dounin
http://mdounin.ru/
_______________________________________________
nginx-ru mailing list
nginx-ru@nginx.org
http://mailman.nginx.org/mailman/listinfo/nginx-ru