OpenSSL 1.1.1(Dev)最近暂不支持 CHACHA20 ?

2018-04-08 23:50:22 +08:00
 Servo

无聊更新着玩,OpenSSL 1.1.1-pre5-dev (即 Draft 26 ),密码套件把 ChaCha20 放最前面,但不管是浏览器(每夜版)还是 testssl 测试 TLS1.3 时都是 TLS_AES_256_GCM_SHA384。印象中在 Draft 23 的时候貌似还是 CHACHA20 的 emmm

ssl_ciphers TLS13-CHACHA20-POLY1305-SHA256:TLS13-AES-256-GCM-SHA384:TLS13-AES-128-GCM-SHA256:TLS13-AES-128-CCM-8-SHA256:TLS13-AES-128-CCM-SHA256 ……
5522 次点击
所在节点    SSL
28 条回复
winterbells
2018-04-09 11:58:15 +08:00
Σ(っ °Д °;)っ
原来你说的是 tls1.3 下不能用 chacha
眼瞎了(°ー°〃)
respect11
2018-04-09 12:00:36 +08:00
@msg7086 大佬,夜夜版是什么意思。。刚去 google 了下 竟然是 caoliu
Servo
2018-04-09 12:31:37 +08:00
@msg7086 我太菜了,打上补丁还是不行,不知道为什么,不折腾了。依然十分感谢。

@respect11 nightly (每日 /夜构建)版浏览器,每天更新一到三次。
msg7086
2018-04-09 12:48:37 +08:00
@Servo 如果是 Stretch 用户的话,可以等我回头打包二进制。
Servo
2018-04-09 12:57:33 +08:00
@msg7086 谢谢,暂时搁置不弄了。
msg7086
2018-04-09 15:16:20 +08:00
Debian Stretch Docker 编译脚本,给想要测试的朋友:
https://g.x86.men/root/nginx-compiler

./build.sh stretch-tls13

# nginx -V
nginx version: nginx/1.13.12
built with OpenSSL 1.1.1-pre5-dev 8 Apr 2018
kn007
2018-04-09 21:43:58 +08:00
@Servo 我测试了确实是,优先的是 TLS_AES_256_GCM_SHA384

@msg7086 在 nginx-1.13.11 打了你的补丁也是一样,还是用了 TLS_AES_256_GCM_SHA384。
当然如果只定义 TLS_CHACHA20_POLY1305_SHA256,确实会用到 ChaCha20。
msg7086
2018-04-09 23:10:43 +08:00
@kn007
ssl_protocols TLSv1.3;
ssl_ciphers TLS_CHACHA20_POLY1305_SHA256:TLS_AES_256_GCM_SHA384;

#apps/openssl s_client -connect x:443

SSL-Session:
Protocol : TLSv1.3
Cipher : TLS_CHACHA20_POLY1305_SHA256

=====

ssl_protocols TLSv1.3;
ssl_ciphers TLS_AES_128_GCM_SHA256:TLS_CHACHA20_POLY1305_SHA256:TLS_AES_256_GCM_SHA384;

#apps/openssl s_client -connect x:443

SSL-Session:
Protocol : TLSv1.3
Cipher : TLS_AES_128_GCM_SHA256

无法复现你的结果。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/445216

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX