TLS1.3 não está funcionando no nginx 1.15.2 com OpenSSL 1.1.1-pre9

3

Apesar de ter o nginx mais recente, o OpenSSL não produz o TLS1.3 no meu servidor (www.baldeonline.com para referência), embora esteja ativado em meus arquivos de configuração. Além disso, minha instância do nginx foi compilada com o OpenSSL 1.1.1-pre9 instalado.

$ node -V retorna:

nginx version: nginx/1.15.2
built by gcc 6.3.0 20170516 (Debian 6.3.0-18+deb9u1)
built with OpenSSL 1.1.1-pre9 (beta) 21 Aug 2018

A maioria dos tutoriais que vi até agora incluem CloudFlare, então eu suspeito que funciona nesse caso como TLS1.2 entre Server e CloudFlare e depois TLS1.3 entre CloudFlare e Client, embora eu não tenha nada concreto para sugerir isso.

EDITAR

Como Patrick mencionou, executando o comando:
$ openssl s_client -connect www.baldeonline.com:443

mostra que o TLS1.3 está ativado. O TLS1.3 deve funcionar com navegadores quando eles são atualizados para suportar totalmente o padrão final TLS1.3 (15 de agosto de 2018), não apenas os padrões de rascunho.

Para os interessados:

link

Embora as versões 1.1.1 mais recentes suportem a versão padrão final, outros aplicativos que suportam TLSv1.3 ainda podem estar usando versões de rascunho mais antigas. Esta é uma fonte comum de problemas de interoperabilidade. Se dois pares que suportam diferentes versões de rascunho TLSv1.3 tentarem se comunicar, eles voltarão para o TLSv1.2.

TLDR: Se você quiser que o TLS1.3 funcione agora com o rascunho 28, use o OpenSSL 1.1.1-pre8 link Vá para "Hora de atualizar o SSL aberto" e use o link no lugar do clone git.

    
por Alex Baldwin 23.08.2018 / 02:57

1 resposta

5

No OpenSSL 1.1.1-pre9, todo o suporte a rascunho, exceto a versão final do TLS1.3, foi removido. No entanto, os navegadores suportam apenas versões de rascunho.

    
por 23.08.2018 / 04:10