H2o: TLS 1.3 e Cipher-suite

Criado em 21 jan. 2019  ·  5Comentários  ·  Fonte: h2o/h2o

Olá, e feliz ano novo pela mesma ocasião,

Eu queria saber se isso é possível selecionar a ordem preferencial das cifras, ao usar o TLS v1.3.

Estou usando:

  • as últimas fontes de H2O,
  • OpenSSL 1.1.1,
  • "preferência de cifra: servidor".

No entanto, não importa o que eu coloquei no "cipher-suite", este é sempre o pacote OpenSSL padrão, que é usado: "TLS_AES_256_GCM_SHA384", "TLS_CHACHA20_POLY1305_SHA256" e "TLS_AES_128_GCM_SHA256" e nesta ordem exata.

Então, eu queria saber se esse é o comportamento esperado?

Obrigado,

Atenciosamente,

picture Ys88
👍2

Comentários muito úteis

Enviei uma proposta para https://github.com/h2o/h2o/pull/1963 , diga-me o que você acha.

picture deweerdt em 2 fev. 2019
👍3

Todos 5 comentários

A lista de cifras está codificada no momento. Meu primeiro instinto foi extrair a lista de cifras do ssl_ctx, mas a maneira de especificar cifras mudou no openssl 1.1.1, então precisamos chamar SSL_CTX_set_ciphersuites

Não tenho certeza de qual seria a melhor maneira de resolver isso, uma opção de configuração separada cipher-suite-tls1.3 vem à mente, o que você acha @kazuho ?

deweerdt picture deweerdt em 31 jan. 2019
👍2

Além disso, se o openssl subjacente for mais antigo que o openssl-1.1.1 (digamos openssl-1.1.0), o ssl_ctx não conterá as cifras TLS1.3. Uma lista separada como @deweerdt sugerida pode tornar o uso mais simples.

robguima picture robguima em 1 fev. 2019
👍2

Uma opção de configuração separada tem meu voto.

Acredito que seria mais fácil e claro. Misturar cifras para TLSv1.3 com as das versões anteriores de TLS, na mesma opção, tornaria mais difícil de ler e certamente mais difícil de analisar (eu acho).

Ys88 picture Ys88 em 2 fev. 2019

Enviei uma proposta para https://github.com/h2o/h2o/pull/1963 , diga-me o que você acha.

deweerdt picture deweerdt em 2 fev. 2019
👍3

Não tenho habilidade para revisar o código em si, mas a ideia me parece boa.

Existe uma convenção de nomenclatura para opções em H2O? Não me importo, mas pode causar confusão ter um "ponto" dentro de um nome de opção? "cipher-suite-tls1.3" ou "cipher-suite-tls13"? Como eu disse, não me importo, foi apenas um pensamento que me veio à mente.

Obrigado!

Ys88 picture Ys88 em 3 fev. 2019
Esta página foi útil?
0 / 5 - 0 avaliações

Questões relacionadas

fetus-hina picture fetus-hina  ·  4Comentários
utrenkner picture utrenkner  ·  5Comentários
basbebe picture basbebe  ·  3Comentários
daniel-lucio picture daniel-lucio  ·  5Comentários
Ys88 picture Ys88  ·  5Comentários