Welcome! Log In Create A New Profile

Advanced

Re: параллельные сертификаты ECDSA/RSA и @SECLEVEL

June 28, 2022 07:45PM
> (Just in case, в приведённом фрагменте вывода testssl.sh как раз
> видно, что TLSv1 и TLSv1.1 работают.)

всё-таки не работает, извините, не то скопировал, заметил уже после отправки.
должно было быть:
SSLv2 not offered (OK)
SSLv3 not offered (OK)
TLS 1 not offered
TLS 1.1 not offered
TLS 1.2 offered (OK)
TLS 1.3 not offered and downgraded to a weaker protocol


> Debian по умолчанию использует в настройках OpenSSL SECLEVEL=2,
> что приводит к тому, что ECDHE-ECDSA-AES128-SHA не работает из-за
> использования SHA1 в процессе key exchange. Ибо для SECLEVEL=2
> требуется минимум 112 бит криптостойкости, а SHA1 обеспечивает
> максимум 80 (а с учётом атак - и того меньше, что и отражено в
> OpenSSL 3.0). От этого у вас TLSv1 и ломается без SECLEVEL=0

но почему при SECLEVEL=2 наличие/отстутсвие поддержки TLSv1 зависит от того, в каком порядке указаны шифры?
Subject Author Posted

параллельные сертификаты ECDSA/RSA и @SECLEVEL

edo1 June 27, 2022 03:24PM

Re: параллельные сертификаты ECDSA/RSA и @SECLEVEL

Maxim Dounin June 28, 2022 07:28PM

Re: параллельные сертификаты ECDSA/RSA и @SECLEVEL

edo1 June 28, 2022 07:45PM

Re: параллельные сертификаты ECDSA/RSA и @SECLEVEL

Maxim Dounin June 28, 2022 08:18PM

Re: параллельные сертификаты ECDSA/RSA и @SECLEVEL

edo1 June 28, 2022 08:30PM



Sorry, only registered users may post in this forum.

Click here to login

Online Users

Guests: 85
Record Number of Users: 6 on February 13, 2018
Record Number of Guests: 421 on December 02, 2018
Powered by nginx      Powered by FreeBSD      PHP Powered      Powered by MariaDB      ipv6 ready