Hello!
On Mon, Jun 27, 2022 at 03:24:48PM -0400, edo1 wrote:
> Дано:
> nginx 1.23 (сборка под bullseye с nginx.org), openssl 1.1.1n (из debian)
> два сертификата от LE, RSA и P-256.
> testssl.sh
>
> Нужно сделать, чтобы старые клиенты, умеющие только TLSc1/RSA, могли
> подключаться.
> Запускаем
> (Just in case, в приведённом фрагменте вывода testssl.sh как раз
> видно, что TLSv1 и TLSv1.1 работают.)
всё-таки не работает, извините, не то скопировал, заметил уже после
отправки.
должно было быть:
SSLv2 not offered (OK)
SSLv3 not offered (OK)
TLS 1 not offered
TLS 1.1n
Hello!
On Tue, Jun 28, 2022 at 07:45:53PM -0400, edo1 wrote:
> > Debian по умолчанию использует в настройках OpenSSL SECLEVEL=2,
> > что приводит к тому, что ECDHE-ECDSA-AES128-SHA не работает из-за
> > использования SHA1 в процессе key exchange. Ибо для SECLEVEL=2
> > требуется минимум 112 бит к
да, спасибо, я как раз писал, что уже понял.
при таком конфиге сервера:
ssl_protocols TLSv1;
ssl_ciphers ECDHE-ECDSA-AES128-SHA:AES128-SHA;
ssl_prefer_server_ciphers on;
если запускаем
openssl s_client -tls1
то от клиента приходит запрос, в котором есть шифр ECDHE-ECDSA-AES128-SHA,
сервер выбира
