Hello! On Tue, Jun 28, 2022 at 07:45:53PM -0400, edo1 wrote:
> > Debian по умолчанию использует в настройках OpenSSL SECLEVEL=2, > > что приводит к тому, что ECDHE-ECDSA-AES128-SHA не работает из-за > > использования SHA1 в процессе key exchange. Ибо для SECLEVEL=2 > > требуется минимум 112 бит криптостойкости, а SHA1 обеспечивает > > максимум 80 (а с учётом атак - и того меньше, что и отражено в > > OpenSSL 3.0). От этого у вас TLSv1 и ломается без SECLEVEL=0 > > но почему при SECLEVEL=2 наличие/отстутсвие поддержки TLSv1 зависит от того, > в каком порядке указаны шифры? Вероятнее всего у вас включена опция ssl_prefer_server_ciphers, и соответственно OpenSSL выбирает и пытается использовать тот шифр, который указан первым. И ломается, если это ECDHE-ECDSA-AES128-SHA. Если опцию выключить - будет использоваться тот шифр, который предпочитает клиент, и ломаться будет в зависимости от предпочтений клиента (то есть примерно всегда для клиентов, поддерживающих ECDSA). -- Maxim Dounin http://mdounin.ru/ _______________________________________________ nginx-ru mailing list -- nginx-ru@nginx.org To unsubscribe send an email to nginx-ru-le...@nginx.org
