W dniu 12.07.2025 o 02:21, Jan Palus pisze:
On 10.07.2025 15:12, Maciej Kędzierski wrote:
Podobny problem był opisywany na tym wątku
https://github.com/openssl/openssl/issues/27557
Myślę, że to ten sam "problem", chociaż tak jak jest tam wspomniane
openssl działa zgodnie ze standardem i nie wiadomo dlaczego serwerom nie
pasuje nowe zachowanie.
Z https://github.com/openssl/openssl/blob/openssl-3.5/CHANGES.md#openssl-35:
This means two key shares (X25519MLKEM768 and X25519) will be sent by default
by the TLS client.
Kiedy dodasz "-trace" do wywołań "openssl s_client" zobaczysz:
...
extension_type=key_share(51), length=1258
NamedGroup: X25519MLKEM768 (4588)
...
NamedGroup: ecdh_x25519 (29)
...
Możesz wybrać jakie grupy są wysyłane dodając do "openssl s_client":
* "-groups x25519" zachowanie z openssl < 3.5, zapewne nie będzie
wisiało
* "-groups X25519MLKEM768" nowa grupa z 3.5 - będzie wisieć.
Chociaż domyślam się że niewiele to w praktyce pomaga.
No tak, w praktyce da się tego wykorzystać, albo nie umiem ;), ale
obchodzę to, informując sendmaila, żeby przy komunikacji z danymi
serwerami MX nie korzystał ze STARTTLS.
Całe szczęście, że nie jest dużo takich serwerów, z którymi jest ten
problem. Większość była "wyłapana" zaraz po zmianie openssla, a teraz
jest względny spokój.
_______________________________________________
pld-devel-pl mailing list
[email protected]
http://lists.pld-linux.org/mailman/listinfo/pld-devel-pl
