B'jour compères BOFH ! Je me permets de transférer de la liste d'à-côté, ça pourrait aussi nous intéresser.
-------- Message transféré -------- Sujet : [FRnOG] [TECH] TLS 1.3 Date : Thu, 22 Mar 2018 09:03:43 +0100 De : Jean-Francois Billaud billaud@billaud.eu.org Pour : frnog-tech@frnog.org
Ça se précise :
https://www.ietf.org/mail-archive/web/tls/current/msg25837.html
The IESG has approved the following document: - 'The Transport Layer Security (TLS) Protocol Version 1.3' (draft-ietf-tls-tls13-28.txt) as Proposed Standard
Characterization of Proposed Standards : https://tools.ietf.org/html/rfc7127
Les derniers drafts amélioraient la compatibilité avec les middleboxes (pare-feux et autres équipements qui rejettent tout ce qu'ils ne connaissent pas ou ne peuvent pas déchiffrer), il risque d'y avoir encore quelques mises à jour à faire.
Openssl en est au draft 26 (après les 18 et 23) avec openssl-1.1.1-pre3, mais ça devrait aller vite :
https://www.openssl.org/policies/releasestrat.html
Pour le moment on a des navigateurs qui ne connaissent que les drafts 18 ou 23. Pour le reste...
JFB
--------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
On 22/03/2018 11:18, GAoL garfieldairlines on lists wrote:
B'jour compères BOFH ! Je me permets de transférer de la liste d'à-côté, ça pourrait aussi nous intéresser.
[...]
Si ça peut servir à quelqu'un, on peut monter un serveur de test avec openssl s_server (ici openssl-1.1.1-pre3 TLS 1.3 draft 26) :
./openssl s_server -accept 443 -www -status -serverpref \ -key privkey13.pem -cert cert13.pem -chainCAfile fullchain13.pem \ -CAfile DST_Root_CA_X3.pem -dhparam dh4096.pem \ -curves X448:X25519:P-521:P-384:P-256 \ -cipher TLS13-CHACHA20-POLY1305-SHA256:TLS13-AES-256-GCM-SHA384:TLS13-AES-128-GCM-SHA256:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-CHACHA20-POLY1305:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES128-GCM-SHA256
Côté client, openssl s_client :
/usr/src/openssl-1.1.1-pre3/apps/openssl s_client -connect ns2.billaud.eu.org:443 -curves X448 \ -ciphersuites TLS_CHACHA20_POLY1305_SHA256
Ça donne (entre autres) :
Server Temp Key: X448, 448 bits New, TLSv1.3, Cipher is TLS_CHACHA20_POLY1305_SHA256
Autre possibilité côté serveur : nginx (1.13.10) + openssl (1.1.1-pre3), mais après configure et avant make il faut bricoler objs/Makefile -ldl -lcrypt -lpcre /usr/src/openssl-1.1.1-pre3//.openssl/lib/libssl.a /usr/src/openssl-1.1.1-pre3//.openssl/lib/libcrypto.a -ldl -lz \ -lGeoIP -lpthread (déplacer -lpthread à la fin)
Mème client openssl s_client, même genre de résultat.
SSLLabs est un peu en retard (draft 18, et 23 sur le site d'essai).
JFB
On 22/03/2018 15:21, Jean-Francois Billaud wrote:
Autre possibilité côté serveur : nginx (1.13.10) + openssl (1.1.1-pre3), mais après configure et avant make il faut bricoler objs/Makefile
Inutile, corrigé aujourd'hui : http://hg.nginx.org/nginx/rev/04ebf29eaf5b
Côté navigateurs, TLS 1.3 draft 23 avec Firefox 60 beta, draft 26 avec Firefox 61 alpha.
JFB
-
GAoL garfieldairlines on lists -
Jean-Francois Billaud