这是一个创建于 2254 天前的主题,其中的信息可能已经有所发展或是发生改变。
Nginx 不能设置 TLS1.3 加密套件的顺序,因为 OpenSSL 1.1.1 的正式版本(及之前的几个 beta 版本)使用了新的 functionint SSL_CTX_set_ciphersuites(SSL_CTX *ctx, const char *str);来设置 TLS1.3 加密套件,而 TLS1.2 加密套件使用先前存在的int SSL_CTX_set_cipher_list(SSL_CTX *ctx, const char *str);来设置。
(参考 https://www.openssl.org/docs/manmaster/man3/SSL_CTX_set_ciphersuites.html)
用 grep -rnwi 检索 nginx 1.15.3 的源码,发现没有使用前者(function),于是自己做了一个patch,添加ssl_ciphers_tls13一项配置文件参数来设置 TLS1.3 加密套件。
奇怪的问题是:
ssl_ciphers_tls13必须在每个server {}块中都存在,才能正常地运行服务器,否则报出 segmentation error。而ssl_ciphers可以在http {}中定义,作为全局配置。
我初学 C 语言,水平不高。暂时无法解决这个 bug,故寻求帮助。 致谢。
 |
1
Dannytmp 2018-09-22 19:10:55 +08:00 via Android
难度不小,等高手解答。
|
 |
2
msg7086 2018-09-23 03:08:35 +08:00
https://g.x86.men/root/nginx-pika/commit/7f4c2321c2a5cc57a7715e560181b5edaed274bf
我是这么解决的,比较省心。 |
 |
3
Hardrain OP @msg7086 我测试了一下,这样会报错(nginx/1.15.3)
似乎是因为不能用 int SSL_CTX_set_ciphersuites(SSL_CTX *ctx, const char *str);来设置 TLSv1.2 加密套件 此外,可以这样测试: openssl ciphers -v -ciphersuites 'TLS1.3 加密套件' 'TLS1.2 加密套件' 如果将两个 parameters 设成同样的、都包含 1.3 和 1.2 加密套件的字符串(如:TLS_AES_128_GCM_SHA256:ECDHE-RSA-AES128-GCM-SHA256),执行上述命令也报错。 |
|
4
msg7086 2018-09-23 17:52:00 +08:00
确实,不知道是之前我测试方法有问题还是改过 API 行为了。回头我看看怎么搞吧。
|
|
5
msg7086 2018-09-23 18:11:22 +08:00
以及如果你要尝试缩小范围的话,可以尝试着在不影响程序工作的情况下注释掉部分补丁,直到完全不会出问题为止。至少这样可以帮助你确定哪些代码可能有问题,哪些代码没问题。
|
|
6
msg7086 2018-09-24 08:08:38 +08:00
https://g.x86.men/root/nginx-pika/commit/a1885bf8a262d82b71a1aa07f8849d9b464969ff
新的补丁。 |
|
7
Hardrain OP |
Select Language