こんにちは、そして同じ機会に明けましておめでとうございます、
TLS v1.3を使用しているときに、これで暗号の優先順序を選択できるかどうか疑問に思いました。
私は使っている:
- 最新のH2Oソース、
- OpenSSL 1.1.1、
- 「暗号設定:サーバー」。
ただし、「暗号スイート」に何を入れても、これは常にデフォルトのOpenSSLスイートであり、「TLS_AES_256_GCM_SHA384」、「TLS_CHACHA20_POLY1305_SHA256」、「TLS_AES_128_GCM_SHA256」という正確な順序で使用されます。
それで、これが予想される動作であるかどうか疑問に思いましたか?
ありがとうございました、
よろしくお願いします、
Ys88
全てのコメント5件
暗号リストは現在ハードコードされています。 私の最初の本能はssl_ctxから暗号リストを抽出することでしたが、openssl 1.1.1で暗号を指定する方法が変更されたため、 SSL_CTX_set_ciphersuitesを呼び出す必要があります
それに取り組む最善の方法がわかりません。別の構成オプションcipher-suite-tls1.3が思い浮かびますが、 ますか?
deweerdt
2019年01月31日
また、基になるopensslがopenssl-1.1.1よりも古い場合(たとえばopenssl-1.1.0)、ssl_ctxにはTLS1.3暗号が含まれません。 @deweerdtが提案するような別のリストを使用すると、使用法が簡単になる可能性があります。
robguima
2019年02月01日
別の構成オプションが私の投票です。
私はそれがより簡単でより明確になると信じています。 同じオプションでTLSv1.3の暗号を以前のTLSバージョンの暗号と混合すると、読みにくくなり、確かに解析しにくくなります(私は推測します)。
Ys88
2019年02月02日
https://github.com/h2o/h2o/pull/1963に提案をプッシュしました。ご
deweerdt
2019年02月02日
コード自体をレビューするスキルはありませんが、そのアイデアは私には良いようです。
H2Oのオプションの命名規則はありますか? 私は気にしませんが、オプション名の中に「ドット」が含まれていると混乱する可能性がありますか? 「cipher-suite-tls1.3」または「cipher-suite-tls13」? 私が言ったように、私は気にしません、これは私の頭に浮かんだ単なる考えでした。
ありがとう!
Ys88
2019年02月03日
関連する問題
utrenkner
·
3コメント
voiddeveloper
·
6コメント
ndac-todoroki
·
5コメント
taosx
·
6コメント
kazuho
·
7コメント
最も参考になるコメント
https://github.com/h2o/h2o/pull/1963に提案をプッシュしました。ご