H2o: TLS 1.3 et suite de chiffrement

Créé le 21 janv. 2019  ·  5Commentaires  ·  Source: h2o/h2o

Salut, et bonne année par la même occasion,

Je me demandais s'il était possible de sélectionner l'ordre préféré des chiffrements, lors de l'utilisation de TLS v1.3.

J'utilise:

  • les dernières sources d'H2O,
  • OpenSSL 1.1.1,
  • "préférence de chiffrement : serveur".

Cependant, peu importe ce que je mets dans la "cipher-suite", c'est toujours la suite OpenSSL par défaut, qui est utilisée : "TLS_AES_256_GCM_SHA384", "TLS_CHACHA20_POLY1305_SHA256" et "TLS_AES_128_GCM_SHA256" et dans cet ordre précis.

Alors je me demandais si c'était le comportement attendu ?

Merci,

Meilleures salutations,

picture Ys88
👍2

Commentaire le plus utile

J'ai poussé une proposition vers https://github.com/h2o/h2o/pull/1963 , merci de me faire savoir ce que vous en pensez.

picture deweerdt le 2 févr. 2019
👍3

Tous les 5 commentaires

La liste de chiffrement est actuellement codée en dur. Mon premier réflexe a été d'extraire la liste de chiffrement du ssl_ctx mais la façon de spécifier les chiffrements a changé dans openssl 1.1.1, nous devons donc appeler SSL_CTX_set_ciphersuites

Je ne sais pas quelle serait la meilleure façon de résoudre ce problème, une option de configuration distincte cipher-suite-tls1.3 me vient à l'esprit, qu'en pensez-vous @kazuho ?

deweerdt picture deweerdt le 31 janv. 2019
👍2

De plus, si le openssl sous-jacent est plus ancien que openssl-1.1.1 (disons openssl-1.1.0), le ssl_ctx ne contiendra pas les chiffrements TLS1.3. Une liste séparée comme @deweerdt suggérée pourrait rendre l'utilisation plus simple.

robguima picture robguima le 1 févr. 2019
👍2

Une option de configuration distincte a mon vote.

Je pense que ce serait plus simple et plus clair. Mélanger les chiffrements pour TLSv1.3 avec ceux des versions précédentes de TLS, dans la même option, rendrait la lecture plus difficile et certainement plus difficile à analyser (je suppose).

Ys88 picture Ys88 le 2 févr. 2019

J'ai poussé une proposition vers https://github.com/h2o/h2o/pull/1963 , merci de me faire savoir ce que vous en pensez.

deweerdt picture deweerdt le 2 févr. 2019
👍3

Je n'ai pas les compétences pour revoir le code lui-même, mais l'idée me semble bonne.

Existe-t-il une convention de nommage pour les options dans H2O ? Cela ne me dérange pas, mais cela peut-il prêter à confusion d'avoir un "point" à l'intérieur d'un nom d'option ? "cipher-suite-tls1.3" ou "cipher-suite-tls13" ? Comme je l'ai dit, cela ne me dérange pas, c'était juste une pensée qui m'est venue à l'esprit.

Merci!

Ys88 picture Ys88 le 3 févr. 2019
Cette page vous a été utile?
0 / 5 - 0 notes

Questions connexes

utrenkner picture utrenkner  ·  7Commentaires
daniel-lucio picture daniel-lucio  ·  5Commentaires
taosx picture taosx  ·  6Commentaires
proyb6 picture proyb6  ·  5Commentaires
Jxck picture Jxck  ·  7Commentaires