Hello! On Sat, Oct 27, 2018 at 02:19:43PM -0400, analytic wrote:
> Всем привет. > Ситуация следующая. Собрал nginx 1.15.5 с openssl 1.1.1. > > nginx version: nginx/1.15.5 > built by gcc 5.4.0 20160609 (Ubuntu 5.4.0-6ubuntu1~16.04.10) > built with OpenSSL 1.1.1 11 Sep 2018 > TLS SNI support enabled > configure arguments: --with-cc-opt='-g -O2 -fPIE -fstack-protector-strong > -Wformat -Werror=format-security -fPIC -Wdate-time -D_FORTIFY_SOURCE=2' > --with-ld-opt='-Wl,-Bsymbolic-functions -fPIE -pie -Wl,-z,relro -Wl,-z,now > -fPIC' --prefix=/etc/nginx --sbin-path=/usr/sbin/nginx > --modules-path=/usr/lib/nginx/modules --conf-path=/etc/nginx/nginx.conf > --error-log-path=/var/log/nginx/error.log > --http-log-path=/var/log/nginx/access.log --pid-path=/run/nginx.pid > --lock-path=/run/lock/nginx.lock > --http-client-body-temp-path=/var/cache/nginx/client_temp > --http-proxy-temp-path=/var/cache/nginx/proxy_temp > --http-fastcgi-temp-path=/var/cache/nginx/fastcgi_temp > --http-uwsgi-temp-path=/var/cache/nginx/uwsgi_temp > --http-scgi-temp-path=/var/cache/nginx/scgi_temp --user=www-data > --group=www-data --with-http_ssl_module --with-http_realip_module > --with-http_addition_module --with-http_sub_module --with-http_dav_module > --with-http_flv_module --with-http_gunzip_module > --with-http_gzip_static_module --with-http_random_index_module > --with-http_secure_link_module --with-http_stub_status_module > --with-http_auth_request_module --with-http_slice_module --with-threads > --with-stream --with-stream_ssl_module --with-mail --with-mail_ssl_module > --with-file-aio --with-http_v2_module > --with-openssl=/opt/cpf/nginx/nginx-1.15.5/openssl-1.1.1 > --with-openssl-opt=enable-tls1_3 > --add-module=/opt/cpf/nginx/nginx-1.15.5/brotli > --add-module=/opt/cpf/nginx/nginx-1.15.5/ngx_cache_purge-2.3 > > Включил в настройках поддержку TLS1.3 > > ssl_protocols TLSv1 TLSv1.1 TLSv1.2 TLSv1.3; # Dropping SSLv3, ref: POODLE > ssl_prefer_server_ciphers on; > ssl_session_cache shared:SSL:10m; > ssl_session_timeout 10m; > ssl_ciphers 'TLS13-CHACHA20-POLY1305-SHA256:TLS13-AES-128-GCM- > SHA256:TLS13-AES-256-GCM-SHA384:ECDHE:!COMPLEMENTOFDEFAULT'; > > Однако при проверки через ssllabs.com TLS1.3 нет. Что еще нужно сделать, что > бы заработал этот TLS1.3? > Я правильно понимаю, что Nginx собирается со статической версией OpenSSL и > это дает ему независимость от версии OpenSSL в операционной системе? > > P.S. Проверил cloudflare.com все через тот же ssllabs.com, там поддержка > TLS1.3 есть. AFAIK, ssllabs.com пока не научился корректно тестировать поддержку TLS 1.3, и умеет только Draft 28. Попробуйте dev.ssllabs.com, возможно там уже. Подробнее в этих тикетах, например: https://github.com/ssllabs/ssllabs-scan/issues/651 https://github.com/ssllabs/ssllabs-scan/issues/641 Но вообще я бы не рекомендовал полагаться в таких вопросах на SSL Labs. Пользуйтесь "openssl s_client" от OpenSSL 1.1.1 (с которым и собрали nginx). -- Maxim Dounin http://mdounin.ru/ _______________________________________________ nginx-ru mailing list nginx-ru@nginx.org http://mailman.nginx.org/mailman/listinfo/nginx-ru
