Olá, e feliz ano novo pela mesma ocasião,
Eu queria saber se isso é possível selecionar a ordem preferencial das cifras, ao usar o TLS v1.3.
Estou usando:
No entanto, não importa o que eu coloquei no "cipher-suite", este é sempre o pacote OpenSSL padrão, que é usado: "TLS_AES_256_GCM_SHA384", "TLS_CHACHA20_POLY1305_SHA256" e "TLS_AES_128_GCM_SHA256" e nesta ordem exata.
Então, eu queria saber se esse é o comportamento esperado?
Obrigado,
Atenciosamente,
A lista de cifras está codificada no momento. Meu primeiro instinto foi extrair a lista de cifras do ssl_ctx, mas a maneira de especificar cifras mudou no openssl 1.1.1, então precisamos chamar SSL_CTX_set_ciphersuites
Não tenho certeza de qual seria a melhor maneira de resolver isso, uma opção de configuração separada cipher-suite-tls1.3
vem à mente, o que você acha @kazuho ?
Além disso, se o openssl subjacente for mais antigo que o openssl-1.1.1 (digamos openssl-1.1.0), o ssl_ctx não conterá as cifras TLS1.3. Uma lista separada como @deweerdt sugerida pode tornar o uso mais simples.
Uma opção de configuração separada tem meu voto.
Acredito que seria mais fácil e claro. Misturar cifras para TLSv1.3 com as das versões anteriores de TLS, na mesma opção, tornaria mais difícil de ler e certamente mais difícil de analisar (eu acho).
Enviei uma proposta para https://github.com/h2o/h2o/pull/1963 , diga-me o que você acha.
Não tenho habilidade para revisar o código em si, mas a ideia me parece boa.
Existe uma convenção de nomenclatura para opções em H2O? Não me importo, mas pode causar confusão ter um "ponto" dentro de um nome de opção? "cipher-suite-tls1.3" ou "cipher-suite-tls13"? Como eu disse, não me importo, foi apenas um pensamento que me veio à mente.
Obrigado!
Comentários muito úteis
Enviei uma proposta para https://github.com/h2o/h2o/pull/1963 , diga-me o que você acha.