> (Just in case, в приведённом фрагменте вывода testssl.sh как раз > видно, что TLSv1 и TLSv1.1 работают.)
всё-таки не работает, извините, не то скопировал, заметил уже после отправки. должно было быть: SSLv2 not offered (OK) SSLv3 not offered (OK) TLS 1 not offered TLS 1.1 not offered TLS 1.2 offered (OK) TLS 1.3 not offered and downgraded to a weaker protocol > Debian по умолчанию использует в настройках OpenSSL SECLEVEL=2, > что приводит к тому, что ECDHE-ECDSA-AES128-SHA не работает из-за > использования SHA1 в процессе key exchange. Ибо для SECLEVEL=2 > требуется минимум 112 бит криптостойкости, а SHA1 обеспечивает > максимум 80 (а с учётом атак - и того меньше, что и отражено в > OpenSSL 3.0). От этого у вас TLSv1 и ломается без SECLEVEL=0 но почему при SECLEVEL=2 наличие/отстутсвие поддержки TLSv1 зависит от того, в каком порядке указаны шифры? Posted at Nginx Forum: https://forum.nginx.org/read.php?21,294596,294606#msg-294606 _______________________________________________ nginx-ru mailing list -- nginx-ru@nginx.org To unsubscribe send an email to nginx-ru-le...@nginx.org