Welcome! Log In Create A New Profile

Advanced

Re: параллельные сертификаты ECDSA/RSA и @SECLEVEL

June 28, 2022 08:30PM
да, спасибо, я как раз писал, что уже понял.

при таком конфиге сервера:
ssl_protocols TLSv1;
ssl_ciphers ECDHE-ECDSA-AES128-SHA:AES128-SHA;
ssl_prefer_server_ciphers on;

если запускаем
openssl s_client -tls1

то от клиента приходит запрос, в котором есть шифр ECDHE-ECDSA-AES128-SHA, сервер выбирает его, но не может использовать из-за SECLEVEL, выдаёт такой ответ:
Transport Layer Security
TLSv1 Record Layer: Alert (Level: Fatal, Description: Internal Error)
Content Type: Alert (21)
Version: TLS 1.0 (0x0301)
Length: 2
Alert Message
Level: Fatal (2)
Description: Internal Error (80)


если же мы запускаем
openssl s_client -cipher AES128-SHA -tls1

то сервер соглашается на AES128-SHA и всё работает.
Subject Author Posted

параллельные сертификаты ECDSA/RSA и @SECLEVEL

edo1 June 27, 2022 03:24PM

Re: параллельные сертификаты ECDSA/RSA и @SECLEVEL

Maxim Dounin June 28, 2022 07:28PM

Re: параллельные сертификаты ECDSA/RSA и @SECLEVEL

edo1 June 28, 2022 07:45PM

Re: параллельные сертификаты ECDSA/RSA и @SECLEVEL

Maxim Dounin June 28, 2022 08:18PM

Re: параллельные сертификаты ECDSA/RSA и @SECLEVEL

edo1 June 28, 2022 08:30PM



Sorry, only registered users may post in this forum.

Click here to login

Online Users

Guests: 62
Record Number of Users: 6 on February 13, 2018
Record Number of Guests: 421 on December 02, 2018
Powered by nginx      Powered by FreeBSD      PHP Powered      Powered by MariaDB      ipv6 ready