Comments 33
О, наконец. Добавить в конфиг nginx только осталось.
-1
Хм. Нет поддержки TLS 1.3
meklon@nexcloud-new:~$ apt policy nginx
nginx:
Установлен: 1.15.2-1~xenial
Кандидат: 1.15.2-1~xenial
Таблица версий:
*** 1.15.2-1~xenial 500
500 http://nginx.org/packages/mainline/ubuntu xenial/nginx amd64 Packages
100 /var/lib/dpkg/status
meklon@nexcloud-new:~$ nginx -V
nginx version: nginx/1.15.2
built by gcc 5.4.0 20160609 (Ubuntu 5.4.0-6ubuntu1~16.04.9)
built with OpenSSL 1.0.2g 1 Mar 2016
TLS SNI support enabled
configure arguments: --prefix=/etc/nginx --sbin-path=/usr/sbin/nginx --modules-path=/usr/lib/nginx/modules --conf-path=/etc/nginx/nginx.conf --error-log-path=/var/log/nginx/error.log --http-log-path=/var/log/nginx/access.log --pid-path=/var/run/nginx.pid --lock-path=/var/run/nginx.lock --http-client-body-temp-path=/var/cache/nginx/client_temp --http-proxy-temp-path=/var/cache/nginx/proxy_temp --http-fastcgi-temp-path=/var/cache/nginx/fastcgi_temp --http-uwsgi-temp-path=/var/cache/nginx/uwsgi_temp --http-scgi-temp-path=/var/cache/nginx/scgi_temp --user=nginx --group=nginx --with-compat --with-file-aio --with-threads --with-http_addition_module --with-http_auth_request_module --with-http_dav_module --with-http_flv_module --with-http_gunzip_module --with-http_gzip_static_module --with-http_mp4_module --with-http_random_index_module --with-http_realip_module --with-http_secure_link_module --with-http_slice_module --with-http_ssl_module --with-http_stub_status_module --with-http_sub_module --with-http_v2_module --with-mail --with-mail_ssl_module --with-stream --with-stream_realip_module --with-stream_ssl_module --with-stream_ssl_preread_module --with-cc-opt='-g -O2 -fstack-protector-strong -Wformat -Werror=format-security -Wp,-D_FORTIFY_SOURCE=2 -fPIC' --with-ld-opt='-Wl,-Bsymbolic-functions -Wl,-z,relro -Wl,-z,now -Wl,--as-needed -pie'
0
built with OpenSSL 1.0.2g 1 Mar 2016
https://wiki.openssl.org/index.php/TLS1.3
The OpenSSL 1.1.1 release includes support for TLSv1.3
Ничего не мешает собрать с нужной openssl самому.
upd: отщепятки
+1
Хм. Логично. Хотя у меня nginx из их же репозитория. Сейчас посмотрю, может оно еще в mainline не упало.
UPD. Не упало. Видимо пока руками собирать.
UPD. Не упало. Видимо пока руками собирать.
-1
Я пытался nginx с TLSv1.3 заставить работать, с OpenSSL 1.1.1 собирал, но у меня оно так и не завелось почему то.
В браузерах, в частности в Firefox ,TLSv1.3 все еще по умолчанию выключен. А в Waterfox у меня его вообще включить не получилось, соответствующая настройка просто ни на что не влияет и соединение продолжает устанавливаться с TLSv1.2.
Вобщем до массового распространения, похоже, еще далеко.
В браузерах, в частности в Firefox ,TLSv1.3 все еще по умолчанию выключен. А в Waterfox у меня его вообще включить не получилось, соответствующая настройка просто ни на что не влияет и соединение продолжает устанавливаться с TLSv1.2.
Вобщем до массового распространения, похоже, еще далеко.
0
UFO just landed and posted this here
Странно. Nginx-full имеет в базе собранный по-другому пакет?
UPD. В этом репозитории нет пакета nginx-full. Только nginx. Покажи apt policy для nginx и nginx-full
UPD. В этом репозитории нет пакета nginx-full. Только nginx. Покажи apt policy для nginx и nginx-full
+1
UFO just landed and posted this here
Все интереснее) А можно еще попросить выхлоп nginx -V?
-1
UFO just landed and posted this here
Подожди. Так у тебя старый openssl. Он не должен поддерживать TLSv1.3
0
Так. Судя по всему самый свежий релиз openssl — OpenSSL_1_1_1-pre8. То есть в продакшен он не вышел. Автоматом с ним пакеты еще никто не собирал из официальных репозиториев. В твоем варианте сразу две проблемы. Для TLS 1.3 нужен nginx >1.15 и openssl 1.1.1. А судя по выгрузке оба раза мимо. Ты уверен насчет поддержки?
0
По идее более свежие версии — это mainline. Например эти:
ppa:nginx/development
Хотя у меня репы официальные стоят.
ppa:nginx/development
Хотя у меня репы официальные стоят.
0
Не хватает хотя бы краткого писание основных плюсов по сравнению с 1.2
1. Шифрование SNI. Теперь никто своими грязными ручками не сможет залезть и посмотреть на какой именно домен вы обращаетесь. Привет Яровой и Роскомнадзору!
2. Хендшейк стал требовать в 1.5 раза меньше запросов между клиентом с сервером. Прощайте статусные строки «Устанавливается ssl соединение» висящие нереально долгое время.
3. Удалены все древние и ныне небезопасные алгоритмы. Опять привет Яровой и Роскомнадзору!
4. Добавлена защита от Mitm атаки на даунгрейд версии протокола. Привет сами знаете кому.
1. Шифрование SNI. Теперь никто своими грязными ручками не сможет залезть и посмотреть на какой именно домен вы обращаетесь. Привет Яровой и Роскомнадзору!
2. Хендшейк стал требовать в 1.5 раза меньше запросов между клиентом с сервером. Прощайте статусные строки «Устанавливается ssl соединение» висящие нереально долгое время.
3. Удалены все древние и ныне небезопасные алгоритмы. Опять привет Яровой и Роскомнадзору!
4. Добавлена защита от Mitm атаки на даунгрейд версии протокола. Привет сами знаете кому.
+8
1. Шифрование SNI. Теперь никто своими грязными ручками не сможет залезть и посмотреть на какой именно домен вы обращаетесь. Привет Яровой и Роскомнадзору!
Инфа 100%? Я видел, что не ввели это.
+2
>Прощайте статусные строки «Устанавливается ssl соединение» висящие нереально долгое время.
А где вы такое наблюдали? Я вот никогда не видел…
А где вы такое наблюдали? Я вот никогда не видел…
0
UFO just landed and posted this here
UFO just landed and posted this here
UFO just landed and posted this here
UFO just landed and posted this here
FYI: пакеты по теме для C6,7 вот уже полтора года собираются тут
https://copr.fedorainfracloud.org/coprs/vorona/nginx-alpn/
# rpm -q openssl
openssl-1.0.2k-12.el7.x86_64
# nginx -V
nginx version: nginx/1.15.2
built by gcc 4.8.5 20150623 (Red Hat 4.8.5-28) (GCC)
built with OpenSSL 1.1.1-pre8 (beta) 20 Jun 2018
0
Ожидается, что общая безопасность в сети после внедрения TLS 1.3 значительно вырастет. А поспособствовать массовому распространению должны будут библиотеки, упрощающие развертывание новой версии протокола.
Мне кажется это гипотетическая безопасность. С точки зрения науки да, разработали новый протокол сосвоими плюсами. И, конечно, его надо использовать. А вопро-то в том, что-такое "значительно вырастет" безопасность. Она либо есть, либо ее нету. И сколько и кому было нанесено ущерба при использовании TLS-1.2? В ответ тишина...
0
Вот насчет «либо есть, либо нет» я бы не согласился. Иначе бы не было отдельной дисциплины «информационная безопасность» и ряда специалистов по ней. Безопасность это скорее не дискретная величина с «есть» — «нет», а аналоговая, с поиском баланса между затратами на нее и потенциальными рисками.
И да, как и с почти любым аналоговым параметром с нормальным распределением, здесь должен в том или ином варианте действовать закон Парето. )
И да, как и с почти любым аналоговым параметром с нормальным распределением, здесь должен в том или ином варианте действовать закон Парето. )
-1
Sign up to leave a comment.
Теперь официально: TLS 1.3 признан стандартом