Hello!

On Mon, Jan 04, 2021 at 06:03:44PM +0200, Gena Makhomed wrote:

> On 06.07.2020 22:17, Maxim Dounin wrote:
>
> >> On 29.06.2020 17:07, Maxim Dounin wrote:
> >>
> >>> Соответственно для включения TLSv1.3 по умолчанию надо решить две
> >>> проблемы:
> >>>
> >>> 1. Сделать решение, которое бы позволило реализовать ту же
> >>> семантику "отазаться общаться, не предъявляя сертификата" в
> >>> условиях наличия TLSv1.3.
> >>>
> >>> 2. Придумать решение для существующих конфигураций с "ssl_ciphers
> >>> aNULL; return 444;".
> >>
> >> Эти две проблемы выглядят как в принципе не решаемые
> >> в условиях наличия включенного протокола TLSv1.3.
> >
> > Как минимум первая из этих проблем легко решается возвратом ошибки
> > из ngx_http_ssl_servername(). Основной вопрос - что делать со
> > второй. И вот тут не совсем понятно, существует ли хорошее
> > решение, внешнее по отношению к SSL-библиотеке.
>
> Первая проблема теперь уже полностью решена,
> с появлением директивы ssl_reject_handshake
> http://hg.nginx.org/nginx/rev/59e1c73fe02b
>
> Для существующих конфигураций с "ssl_ciphers aNULL;" можно выдавать
> deprecation warning во время проверки конфига и предлагать поменять
> этот хак с "ssl_ciphers aNULL;" на директиву ssl_reject_handshake.

Выдавать deprecation warning на какие-то сочетания шифров - это
выглядит как плохой путь. Кому что надо - тот то и конфигурит.

Что до ssl_reject_handshake, то отстоится - и начнём считать, что
оно есть, и кому надо - конфиги поменяли. Тогда и задумаемся о
включении TLSv1.3 по умолчанию. Логичным выглядит что-нибудь из
первых версий 1.21.x.

--
Maxim Dounin
http://mdounin.ru/
_______________________________________________
nginx-ru mailing list
nginx-ru@nginx.org
http://mailman.nginx.org/mailman/listinfo/nginx-ru