OpenSSL 3.5.0 - problem ze STARTTLS (i TLS1_3, czy dogadywaniem odnośnie szyfrowania?)
Jan Palus
atler at pld-linux.org
Sat Jul 12 02:21:05 CEST 2025
On 10.07.2025 15:12, Maciej Kędzierski wrote:
> Podobny problem był opisywany na tym wątku
> https://github.com/openssl/openssl/issues/27557
Myślę, że to ten sam "problem", chociaż tak jak jest tam wspomniane
openssl działa zgodnie ze standardem i nie wiadomo dlaczego serwerom nie
pasuje nowe zachowanie.
Z https://github.com/openssl/openssl/blob/openssl-3.5/CHANGES.md#openssl-35:
> This means two key shares (X25519MLKEM768 and X25519) will be sent by default by the TLS client.
Kiedy dodasz "-trace" do wywołań "openssl s_client" zobaczysz:
...
extension_type=key_share(51), length=1258
NamedGroup: X25519MLKEM768 (4588)
...
NamedGroup: ecdh_x25519 (29)
...
Możesz wybrać jakie grupy są wysyłane dodając do "openssl s_client":
* "-groups x25519" zachowanie z openssl < 3.5, zapewne nie będzie
wisiało
* "-groups X25519MLKEM768" nowa grupa z 3.5 - będzie wisieć.
Chociaż domyślam się że niewiele to w praktyce pomaga.
More information about the pld-devel-pl
mailing list