En prod sur nginx avec la version finale depuis 2 semaines, aucun soucis de notre coté.
par contre, juste un truc, j'ai backporté le package openssl 1.1.1 de debian buster sous stretch,
et debian à ajouter recemment dans
/etc/ssl/openssl.cnf
[system_default_sect] MinProtocol = TLSv1.2 CipherString = DEFAULT@SECLEVEL=2
qui force le tls 1.2 au minimum.
(et du coup nginx ne pouvais plus faire de tls 1.0, tls 1.1)
c'est fixé dans la 1.15 de nginx (qui bypass cette conf), mais sinon, il faut commenter les lignes dans openssl.cnf pour que ca fonctionne avec nginx < 1.15.
----- Mail original ----- De: "Stéphane Rivière" stef@genesix.org À: "French SysAdmin Group" frsag@frsag.org Envoyé: Mardi 25 Septembre 2018 08:17:37 Objet: Re: [FRsAG] [TECH] Tests TLS 1.3 (version finale RFC 8446)
une vague idée de la manière de configurer les serveurs.
On est en prod http/2 TLS 1.3 draft 18 openssl sur nginx 1.13 depuis le printemps 2017. Jamais eu de souci. Merci pour cette belle synthèse, sauvegarde précieusement... et va falloir qu'on mette à jour tout ça !