On 25.06.2020 22:27, Maxim Dounin wrote:

> А не разрешить ли TLSv1.3 по умолчанию. Сейчас для этого как
> минимум один блокер - в TLSv1.3 не настраиваются шифры и в
> результате сломаются конфиги с "ssl_ciphers aNULL;", подробнее
> тут:
>
> http://mailman.nginx.org/pipermail/nginx/2018-November/057194.html

В ответе https://trac.nginx.org/nginx/ticket/195#comment:6 можно
же дописать, что этот workaround не работает для протокола TLSv1.3,
потому что протокол TLSv1.3 вообще не поддерживает ssl_ciphers aNULL;

Хотя, в этом тикете https://trac.nginx.org/nginx/ticket/195 просили
совсем о другом - просили сделать возможность refuse_connections
в том случае, если приходит HTTPS-запрос в nginx на HTTP-only сайт,
то есть просят сделать "strict SNI should really be implemented. It's
just a few if statements, is this too much for a long-standing issue?"

Не смотря на то, что этот тикет был создан 8 лет тому назад - такая
проблема актуальна и сегодня, потому что, насколько мне известно,
Google индексирует сайты по HTTPS не обращая внимания на ошибки
несоответствия сертификата. В резхультате в его поисковой выдаче
будет очень много страниц, которые дают ошибку TLS/SSL в браузере.

> в TLSv1.3 не настраиваются шифры

И если быть уж совсем точным, шифры в TLSv1.3 настраиваются.
Точнее в OpenSSL шифры для TLSv1.3 можно настроить. Проблема
только в том, что вот разработчики nginx не могут договориться
с разработчиками OpenSSL о том, как эти шифры необходимо настраивать.

В том же Apache можно без проблем настроить шифры для TLSv1.3:
https://httpd.apache.org/docs/current/mod/mod_ssl.html#sslciphersuite

Если никак не получается договориться с разработчиками OpenSSL,
может быть имеет сделать смысл форк OpenSSL иил написать с нуля
свою собственную библиотеку? Ведь когда-то так и nginx появился,
когда стало понятно, что apache не подходит для некоторых задач.

Или пойти по пути Apache, сделав возможность раздельной настройки
шифров для TLSv1.2 и для TLSv1.3 ? Ведь по прошествии такого количества
времени уже стало понятно, что разработчики OpenSSL свою точку зрения
по этому вопросу менять не собираются и в OpenSSL все будет так же.

--
Best regards,
Gena

_______________________________________________
nginx-ru mailing list
nginx-ru@nginx.org
http://mailman.nginx.org/mailman/listinfo/nginx-ru