44991 2023-01-21 10:44:07 +0300 Cоединение только по протоколу TLS 1.3 2024-02-21 17:02:39 +0300 1 1 4 Development Sisyphus alterator-fbi unstable x86_64 Linux CLOSED FIXED P5 critical --- 1 cas manowar imz manowar nbr sem v.karpunin qa-sisyphus oldest_to_newest 220438 0 cas 2023-01-21 10:44:07 +0300 nmap --script ssl-enum-ciphers -p 8080 127.0.0.1 Starting Nmap 7.80 ( https://nmap.org ) at 2023-01-20 17:04 +05 Nmap scan report for localhost.localdomain (127.0.0.1) Host is up (0.000038s latency). PORT STATE SERVICE 8080/tcp open http-proxy | ssl-enum-ciphers: | TLSv1.0: | ciphers: | TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (secp256r1) - A | TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (secp256r1) - A | TLS_RSA_WITH_AES_128_CBC_SHA (rsa 2048) - A | TLS_RSA_WITH_AES_256_CBC_SHA (rsa 2048) - A | compressors: | NULL | cipher preference: client | TLSv1.1: | ciphers: | TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (secp256r1) - A | TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (secp256r1) - A | TLS_RSA_WITH_AES_128_CBC_SHA (rsa 2048) - A | TLS_RSA_WITH_AES_256_CBC_SHA (rsa 2048) - A | compressors: | NULL | cipher preference: client | TLSv1.2: | ciphers: | TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (secp256r1) - A | TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 (secp256r1) - A | TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (secp256r1) - A | TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (secp256r1) - A | TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 (secp256r1) - A | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (secp256r1) - A | TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256 (secp256r1) - A | TLS_RSA_WITH_AES_128_CBC_SHA (rsa 2048) - A | TLS_RSA_WITH_AES_128_CBC_SHA256 (rsa 2048) - A | TLS_RSA_WITH_AES_128_GCM_SHA256 (rsa 2048) - A | TLS_RSA_WITH_AES_256_CBC_SHA (rsa 2048) - A | TLS_RSA_WITH_AES_256_CBC_SHA256 (rsa 2048) - A | TLS_RSA_WITH_AES_256_GCM_SHA384 (rsa 2048) - A | compressors: | NULL | cipher preference: client |_ least strength: A Nmap done: 1 IP address (1 host up) scanned in 0.28 seconds Конфигов задающих или меняющих это не нашел. При этом явно указав 1_3, тоже вроде работает openssl s_client -connect 127.0.0.1:8080 -tls1_3 Надо понять, можно ли сделать 1_3 дефолтным? 241796 1 v.karpunin 2024-02-19 13:59:45 +0300 Добрый день. Актуально. 241854 2 manowar 2024-02-20 13:07:56 +0300 Насколько я вижу, libvhttpd (который использует ahttpd) линкуется с OpenSSL и при настройке сокета для работы по TLS не использует никаких специальных параметров (кроме сертификата и ключа). Мне кажется, что в первом приближении проблема должна закрываться общесистемным конфигом /etc/openssl/openssl.cnf (и ещё там есть cipher-list.conf). 241876 3 manowar 2024-02-20 19:17:29 +0300 Чинить сперва будем в Сизифе. 241877 4 manowar 2024-02-20 19:31:37 +0300 https://git.altlinux.org/tasks/341175/ https://git.altlinux.org/tasks/341177/ https://git.altlinux.org/tasks/341178/ 241914 5 repository-robot 2024-02-21 17:02:39 +0300 alterator-fbi-5.49.4-alt1 -> sisyphus: Tue Feb 20 2024 Paul Wolneykien <manowar@altlinux> 5.49.4-alt1 - Fixed a typo in the ahttpd.acl.conf(5) manual page. - Configure ahttpd to use TLSv1.3 or higher (closes: 44991).