こんにちは、そして同じ機会に明けましておめでとうございます、
TLS v1.3を使用しているときに、これで暗号の優先順序を選択できるかどうか疑問に思いました。
私は使っている:
ただし、「暗号スイート」に何を入れても、これは常にデフォルトのOpenSSLスイートであり、「TLS_AES_256_GCM_SHA384」、「TLS_CHACHA20_POLY1305_SHA256」、「TLS_AES_128_GCM_SHA256」という正確な順序で使用されます。
それで、これが予想される動作であるかどうか疑問に思いましたか?
ありがとうございました、
よろしくお願いします、
暗号リストは現在ハードコードされています。 私の最初の本能はssl_ctxから暗号リストを抽出することでしたが、openssl 1.1.1で暗号を指定する方法が変更されたため、 SSL_CTX_set_ciphersuites
を呼び出す必要があります
それに取り組む最善の方法がわかりません。別の構成オプションcipher-suite-tls1.3
が思い浮かびますが、 ますか?
また、基になるopensslがopenssl-1.1.1よりも古い場合(たとえばopenssl-1.1.0)、ssl_ctxにはTLS1.3暗号が含まれません。 @deweerdtが提案するような別のリストを使用すると、使用法が簡単になる可能性があります。
別の構成オプションが私の投票です。
私はそれがより簡単でより明確になると信じています。 同じオプションでTLSv1.3の暗号を以前のTLSバージョンの暗号と混合すると、読みにくくなり、確かに解析しにくくなります(私は推測します)。
https://github.com/h2o/h2o/pull/1963に提案をプッシュしました。ご
コード自体をレビューするスキルはありませんが、そのアイデアは私には良いようです。
H2Oのオプションの命名規則はありますか? 私は気にしませんが、オプション名の中に「ドット」が含まれていると混乱する可能性がありますか? 「cipher-suite-tls1.3」または「cipher-suite-tls13」? 私が言ったように、私は気にしません、これは私の頭に浮かんだ単なる考えでした。
ありがとう!
最も参考になるコメント
https://github.com/h2o/h2o/pull/1963に提案をプッシュしました。ご