OpenSSL 1.1.1(Dev)最近暂不支持 CHACHA20 ?

2018-04-08 23:50:22 +08:00
 Servo

无聊更新着玩,OpenSSL 1.1.1-pre5-dev (即 Draft 26 ),密码套件把 ChaCha20 放最前面,但不管是浏览器(每夜版)还是 testssl 测试 TLS1.3 时都是 TLS_AES_256_GCM_SHA384。印象中在 Draft 23 的时候貌似还是 CHACHA20 的 emmm

ssl_ciphers TLS13-CHACHA20-POLY1305-SHA256:TLS13-AES-256-GCM-SHA384:TLS13-AES-128-GCM-SHA256:TLS13-AES-128-CCM-8-SHA256:TLS13-AES-128-CCM-SHA256 ……
5555 次点击
所在节点    SSL
28 条回复
msg7086
2018-04-09 01:07:56 +08:00
哦?有夜夜版浏览器支持 26 了么?搭了个服务器正愁没浏览器用……
Love4Taylor
2018-04-09 02:55:02 +08:00
FF ?目前 Chrome 全线都是 23, 我还是依旧 pre2 得了 23333
kn007
2018-04-09 07:40:01 +08:00
winterbells
2018-04-09 08:10:04 +08:00
beta2 是可以的
Servo
2018-04-09 08:10:42 +08:00
@msg7086 FF Nightly 上个月就更新 26 了。

@Love4Taylor 嗯,顺带一提,Nginx 把那个编译错误修复了。

@kn007 多谢,不知大佬能否测试下 Openssl 主分支默认情况下是否真的暂不支持 CHACHA,说不定是我自己的问题,下午我会试试这个补丁的,多谢。
kn007
2018-04-09 08:13:42 +08:00
@Servo 我晚点试试,这几天又忙起来了。
我不是大佬啦。
kn007
2018-04-09 08:14:20 +08:00
FF 动作真快,优化得还好,chrome 真该学习一下。
Servo
2018-04-09 08:14:29 +08:00
@winterbells beta2 应该就是 pre-4,我之前测试貌似也不行,尴尬了。
Servo
2018-04-09 08:16:41 +08:00
@kn007 小众浏览器,全靠信仰和仅存的一点自定义在用。
msg7086
2018-04-09 09:22:22 +08:00
我来回测试了一下,感觉是 nginx 的锅,因为我用 openssl s_client 连上去也有 cipher 问题。

ssl_protocols TLSv1.3;
ssl_ciphers TLS13-AES-128-GCM-SHA256;

New, TLSv1.3, Cipher is TLS_AES_256_GCM_SHA384
Server public key is 256 bit
Secure Renegotiation IS NOT supported
Compression: NONE
Expansion: NONE
No ALPN negotiated
Early data was not sent
SSL-Session:
Protocol : TLSv1.3
Cipher : TLS_AES_256_GCM_SHA384
Session-ID:
Session-ID-ctx:
Master-Key:
PSK identity: None
PSK identity hint: None
SRP username: None
Start Time: 1523236776
Timeout : 7200 (sec)
Verify return code: 20 (unable to get local issuer certificate)
Extended master secret: no
msg7086
2018-04-09 09:23:18 +08:00
目测是 nginx 调用 openssl 设置 ciphers 时候出了问题,没设对。
Servo
2018-04-09 09:32:36 +08:00
@msg7086 看来应该是 Nginx 的锅了,多谢测试。
winterbells
2018-04-09 09:48:03 +08:00
@Servo 编译 nginx 的时候是用 openssl 1.1.1 吗🤔
msg7086
2018-04-09 10:10:14 +08:00
@Servo 我看看这几天有没有时间做一个简单的补丁出来。
Servo
2018-04-09 10:38:42 +08:00
@winterbells 当然咯,直接拉的主分支单独编译的。


@msg7086 好的,我也去瞧瞧有没有人给 Nginx 提 issue。
winterbells
2018-04-09 10:54:13 +08:00
那这个呢🤐
ssl_ciphers TLS13-AES-256-GCM-SHA384:TLS13-CHACHA20-POLY1305-SHA256:TLS13-AES-128-GCM-SHA256:TLS13-AES-128-CCM-8-SHA256:TLS13-AES-128-CCM-SHA256:EECDH+CHACHA20:EECDH+CHACHA20-draft:EECDH+ECDSA+AES128:EECDH+aRSA+AES128:RSA+AES128:EECDH+ECDSA+AES256:EECDH+aRSA+AES256:RSA+AES256:!MD5;

ssl_prefer_server_ciphers on;
Servo
2018-04-09 11:00:09 +08:00
@winterbells 问题主要是无视 prefer,无论如何设置首选套件都是 TLS_AES_256_GCM_SHA384。
winterbells
2018-04-09 11:06:26 +08:00
@Servo 额。不清楚了
msg7086
2018-04-09 11:22:22 +08:00
msg7086
2018-04-09 11:23:35 +08:00
# nginx -V
nginx version: nginx/1.13.12
built with OpenSSL 1.1.1-pre4-dev 28 Mar 2018

ssl_protocols TLSv1.3;
ssl_ciphers TLS_CHACHA20_POLY1305_SHA256;


New, TLSv1.3, Cipher is TLS_CHACHA20_POLY1305_SHA256
Server public key is 256 bit
Secure Renegotiation IS NOT supported
Compression: NONE
Expansion: NONE
No ALPN negotiated
Early data was not sent
SSL-Session:
Protocol : TLSv1.3
Cipher : TLS_CHACHA20_POLY1305_SHA256

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/445216

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX