Welcome! Log In Create A New Profile

Advanced

Re: ssl_protocols

Gena Makhomed
January 04, 2021 11:04AM
On 06.07.2020 22:17, Maxim Dounin wrote:

>> On 29.06.2020 17:07, Maxim Dounin wrote:
>>
>>> Соответственно для включения TLSv1.3 по умолчанию надо решить две
>>> проблемы:
>>>
>>> 1. Сделать решение, которое бы позволило реализовать ту же
>>> семантику "отазаться общаться, не предъявляя сертификата" в
>>> условиях наличия TLSv1.3.
>>>
>>> 2. Придумать решение для существующих конфигураций с "ssl_ciphers
>>> aNULL; return 444;".
>>
>> Эти две проблемы выглядят как в принципе не решаемые
>> в условиях наличия включенного протокола TLSv1.3.
>
> Как минимум первая из этих проблем легко решается возвратом ошибки
> из ngx_http_ssl_servername(). Основной вопрос - что делать со
> второй. И вот тут не совсем понятно, существует ли хорошее
> решение, внешнее по отношению к SSL-библиотеке.

Первая проблема теперь уже полностью решена,
с появлением директивы ssl_reject_handshake
http://hg.nginx.org/nginx/rev/59e1c73fe02b

Для существующих конфигураций с "ssl_ciphers aNULL;" можно выдавать
deprecation warning во время проверки конфига и предлагать поменять
этот хак с "ssl_ciphers aNULL;" на директиву ssl_reject_handshake.

>>>>> в TLSv1.3 не настраиваются шифры

Кстати, да. Что-то директива ssl_conf_command
http://hg.nginx.org/nginx/rev/3bff3f397c05
не работает таким образом, как ожидалось.

В файле nginx.conf прописано:

ssl_conf_command Ciphersuites
TLS_CHACHA20_POLY1305_SHA256:TLS_AES_128_GCM_SHA256:TLS_AES_256_GCM_SHA384;

При этом сайт ssllabs.com показывает,
что включенным остается также и шифр TLS_AES_128_CCM_SHA256

Операционная система CentOS 8,
в файле /etc/crypto-policies/back-ends/opensslcnf.config
есть такая строчка:

Ciphersuites =
TLS_AES_256_GCM_SHA384:TLS_CHACHA20_POLY1305_SHA256:TLS_AES_128_GCM_SHA256:TLS_AES_128_CCM_SHA256

То есть, получается, что не смотря на то, что указано в директиве
ssl_conf_command - настройки из файла
/etc/crypto-policies/back-ends/opensslcnf.config
имеют более высокий приоритет и перекрывают настройки
из директивы ssl_conf_command - это так и должно быть?

Или можно каким-то образом настройки из файла
/etc/crypto-policies/back-ends/opensslcnf.config
обойти и сделать так, чтобы nginx мог выключить шифр
TLS_AES_128_CCM_SHA256 не редактируя opensslcnf.config?

--
Best regards,
Gena

_______________________________________________
nginx-ru mailing list
nginx-ru@nginx.org
http://mailman.nginx.org/mailman/listinfo/nginx-ru
Subject Author Posted

ssl_protocols

Gena Makhomed June 25, 2020 02:24PM

Re: ssl_protocols

Maxim Dounin June 25, 2020 03:28PM

Re: ssl_protocols

Gena Makhomed June 28, 2020 02:28PM

Re: ssl_protocols

Maxim Dounin June 29, 2020 10:10AM

Re: ssl_protocols

Gena Makhomed July 04, 2020 01:54PM

Re: ssl_protocols

Илья Шипицин July 04, 2020 03:52PM

Re: ssl_protocols

Maxim Dounin July 06, 2020 03:18PM

Re: ssl_protocols

Gena Makhomed January 04, 2021 11:04AM

Re: ssl_protocols

Gena Makhomed January 04, 2021 11:38AM

Re: ssl_protocols

Maxim Dounin January 04, 2021 04:38PM



Sorry, only registered users may post in this forum.

Click here to login

Online Users

Guests: 68
Record Number of Users: 6 on February 13, 2018
Record Number of Guests: 421 on December 02, 2018
Powered by nginx      Powered by FreeBSD      PHP Powered      Powered by MariaDB      ipv6 ready