LINUX.ORG.RU
ФорумAdmin

CENTOS + NGINX + TLSv1.3

 


0

0

Приветствую!

# CentOS release 6.10 (Final)

openssl version -a
OpenSSL 1.1.1g  21 Apr 2020
built on: Mon Jul  6 08:13:45 2020 UTC
platform: linux-x86_64
options:  bn(64,64) rc4(16x,int) des(int) idea(int) blowfish(ptr)
compiler: gcc -fPIC -pthread -m64 -Wa,--noexecstack -Wall -O3 -DOPENSSL_USE_NODELETE -DL_ENDIAN -DOPENSSL_PIC -DOPENSSL_CPUID_OBJ -DOPENSSL_IA32_SSE2 -DOPENSSL_BN_ASM_MONT -DOPENSSL_BN_ASM_MONT5 -DOPENSSL_BN_ASM_GF2m -DSHA1_ASM -DSHA256_ASM -DSHA512_ASM -DKECCAK1600_ASM -DRC4_ASM -DMD5_ASM -DAESNI_ASM -DVPAES_ASM -DGHASH_ASM -DECP_NISTZ256_ASM -DX25519_ASM -DPOLY1305_ASM -DNDEBUG
OPENSSLDIR: "/usr/local"
ENGINESDIR: "/usr/local/lib64/engines-1.1"
Seeding source: os-specific



# nginx -V
nginx version: nginx/1.19.0
built by gcc 7.3.1 20180303 (Red Hat 7.3.1-5) (GCC)
built with OpenSSL 1.1.1g  21 Apr 2020
TLS SNI support enabled
configure arguments: --prefix=/etc/nginx --sbin-path=/usr/sbin/nginx --modules-path=/usr/lib64/nginx/modules --conf-path=/etc/nginx/nginx.conf --error-log-path=/var/log/nginx/error.log --http-log-path=/var/log/nginx/access.log --pid-path=/var/run/nginx.pid --lock-path=/var/run/nginx.lock --http-client-body-temp-path=/var/cache/nginx/client_temp --http-proxy-temp-path=/var/cache/nginx/proxy_temp --http-fastcgi-temp-path=/var/cache/nginx/fastcgi_temp --http-uwsgi-temp-path=/var/cache/nginx/uwsgi_temp --http-scgi-temp-path=/var/cache/nginx/scgi_temp --user=nginx --group=nginx --with-compat --with-file-aio --with-threads --with-http_addition_module --with-http_auth_request_module --with-http_dav_module --with-http_flv_module --with-http_gunzip_module --with-http_gzip_static_module --with-http_mp4_module --with-http_random_index_module --with-http_realip_module --with-http_secure_link_module --with-http_slice_module --with-http_ssl_module --with-http_stub_status_module --with-http_sub_module --with-http_v2_module --with-mail --with-mail_ssl_module --with-stream --with-stream_realip_module --with-stream_ssl_module --with-stream_ssl_preread_module --with-cc-opt='-O2 -g -pipe -Wall -Wp,-D_FORTIFY_SOURCE=2 -fexceptions -fstack-protector --param=ssp-buffer-size=4 -m64 -mtune=generic -fPIC' --with-ld-opt='-Wl,-z,relro -Wl,-z,now -pie' --with-openssl=/opt/lib/openssl-1.1.1g --with-openssl-opt=enable-tls1_3
ssl_protocols TLSv1 TLSv1.1 TLSv1.2 TLSv1.3;
ssl_prefer_server_ciphers on;
ssl_ciphers TLS13-AES-128-GCM-SHA256:TLS13-AES-256-GCM-SHA384:TLS13-CHACHA20-POLY1305-SHA256:TLS13-AES-128-CCM-8-SHA256:TLS13-AES-128-CCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA:ECDHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES256-SHA:ECDHE-ECDSA-DES-CBC3-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:DES-CBC3-SHA:!DSS;
openssl s_client -connect domain.ru:443 -tls1_3
CONNECTED(00000004)
140490505836288:error:1409442E:SSL routines:ssl3_read_bytes:tlsv1 alert protocol version:ssl/record/rec_layer_s3.c:1544:SSL alert number 70
---
no peer certificate available
---
No client certificate CA names sent
---
SSL handshake has read 7 bytes and written 237 bytes
Verification: OK
---
New, (NONE), Cipher is (NONE)
Secure Renegotiation IS NOT supported
Compression: NONE
Expansion: NONE
No ALPN negotiated
Early data was not sent
Verify return code: 0 (ok)

Не могу понять причины почему не хочет работать по TLSv1.3


Потому что 6.10.

TLS 1.3 в 6.10 включается только в NSS и то не так давно и только если очень настойчиво попросить и я даже не уверен, что это в итоге документировали.

t184256 ★★★★★ ()
Ответ на: комментарий от mrxk

При использовании NSS, если просишь интервал открытый сверху, то итоговый диапазон будет ограничен сверху TLSv1.2. SSL_VersionRangeGetSupported возвращает TLSv1.2 — он врет. Если явно просишь интервал, включающий TLSv1.3, то TLSv1.3 включится. Сделан этот потайной ход на 100% ради Firefox 68.

В целом, если хочешь TLSv1.3, ставь восьмёрку. TLSv1.3 финализовали всего два года назад — не можем же мы бэкпортировать вообще все вообще на все.

t184256 ★★★★★ ()
Ответ на: комментарий от t184256

Если явно просишь интервал, включающий TLSv1.3, то TLSv1.3 включится.

Расскажи, пожалуйста, как это сделать.

mrxk ()
Ответ на: комментарий от mrxk

Зависит от софтины, в которой ты используешь NSS. В Firefox, например, это опция security.tls.version.max=4. В самом NSS это функция SSL_VersionRangeSet.

t184256 ★★★★★ ()
Ответ на: комментарий от t184256

Как без обновления до 8, сделать так, что бы сайты на сервере с CentOS 6.10 работали на tls1.3?

mrxk ()
Ответ на: комментарий от mrxk

В смысле, nginx стал поддерживать TLSv1.3? Используя официальные пакеты — никак.

t184256 ★★★★★ ()
Ответ на: комментарий от t184256

Да, nginx поддерживает, пересобрал с поддержкой, но не хочет работать по tls 1.3 На 7 тоже официально не работает https://dev.to/bidhanahdib/how-to-enable-tls-1-3-in-nginx-with-openssl-centos-7-4f4b С сервера проверку по другим показывает поддержку tls 1.3, по своим на сервере нет. Не правильно собрал nginx (раза три уже пересобирал) или в другом причина?

mrxk ()
Последнее исправление: mrxk (всего исправлений: 3)

Проверь ldd /usr/sbin/nginx - он точно использует твой OpenSSL 1.1.1g из /usr/local?

bigbit ★★★★★ ()
Ответ на: комментарий от bigbit
# ldd /usr/sbin/nginx
        linux-vdso.so.1 =>  (0x00007ffc20b65000)
        libdl.so.2 => /lib64/libdl.so.2 (0x00007f249de4b000)
        librt.so.1 => /lib64/librt.so.1 (0x00007f249dc42000)
        libpthread.so.0 => /lib64/libpthread.so.0 (0x00007f249da25000)
        libcrypt.so.1 => /lib64/libcrypt.so.1 (0x00007f249d7ee000)
        libpcre.so.0 => /lib64/libpcre.so.0 (0x00007f249d5c0000)
        libz.so.1 => /lib64/libz.so.1 (0x00007f249d3aa000)
        libc.so.6 => /lib64/libc.so.6 (0x00007f249d016000)
        /lib64/ld-linux-x86-64.so.2 (0x0000003597a00000)
        libfreebl3.so => /lib64/libfreebl3.so (0x00007f249ce12000)
mrxk ()
Ответ на: комментарий от mrxk

Что-то маловато как-то.
В выводе нет OpenSSL-ных библиотек libcrypto и libssl.

bigbit ★★★★★ ()
Ответ на: комментарий от bigbit

при сборке nginx добавляю для tls 1.3 --with-openssl=/opt/lib/openssl-1.1.1g - папка, откуда была произведена установка нового ssl или что-то другое подсовывать?

# ldd openssl
        linux-vdso.so.1 =>  (0x00007fffc6d90000)
        libssl.so.1.0.0 => /usr/local/ssl/lib/libssl.so.1.0.0 (0x00007f9d5cb74000)
        libcrypto.so.1.0.0 => /usr/local/ssl/lib/libcrypto.so.1.0.0 (0x00007f9d5c719000)
        libdl.so.2 => /lib64/libdl.so.2 (0x0000003598600000)
        libc.so.6 => /lib64/libc.so.6 (0x0000003597e00000)
        /lib64/ld-linux-x86-64.so.2 (0x0000003597a00000)

mrxk ()
Ответ на: комментарий от mrxk

Не-не, –with-openssl указывает на директорию, где лежат исходники openssl.

bigbit ★★★★★ ()
Ответ на: комментарий от mrxk

Для справки - вот как должен выглядеть Nginx, собранный с неродным OpenSSL. Когда-то пересобирал с КриптоПро'шным OpenSSL, чтобы получить в Nginx поддержку ГОСТ-2012.

Обрати внимание на строчки libssl и libcrypto - у тебя их вообще почему-то нет. А, понял. Наверное, статически вкомпилирован. Тогда OK.

$ ldd /usr/sbin/nginx
        linux-vdso.so.1 =>  (0x00007ffd7a45e000)
        libdl.so.2 => /lib64/libdl.so.2 (0x00007f7ee7235000)
        libpthread.so.0 => /lib64/libpthread.so.0 (0x00007f7ee7019000)
        libcrypt.so.1 => /lib64/libcrypt.so.1 (0x00007f7ee6de2000)
        libpcre.so.1 => /lib64/libpcre.so.1 (0x00007f7ee6b80000)
        libssl.so.1.1 => /opt/cprocsp/cp-openssl-1.1.0/lib/amd64/libssl.so.1.1 (0x00007f7ee6912000)
        libcrypto.so.1.1 => /opt/cprocsp/cp-openssl-1.1.0/lib/amd64/libcrypto.so.1.1 (0x00007f7ee648a000)
        libz.so.1 => /lib64/libz.so.1 (0x00007f7ee6274000)
        libprofiler.so.0 => /lib64/libprofiler.so.0 (0x00007f7ee6060000)
        libc.so.6 => /lib64/libc.so.6 (0x00007f7ee5c92000)
        /lib64/ld-linux-x86-64.so.2 (0x00007f7ee776a000)
        libfreebl3.so => /lib64/libfreebl3.so (0x00007f7ee5a8f000)
        libstdc++.so.6 => /lib64/libstdc++.so.6 (0x00007f7ee5788000)
        libm.so.6 => /lib64/libm.so.6 (0x00007f7ee5486000)
        libgcc_s.so.1 => /lib64/libgcc_s.so.1 (0x00007f7ee5270000)
bigbit ★★★★★ ()
Последнее исправление: bigbit (всего исправлений: 1)
Ответ на: комментарий от bigbit

может в сертификате Let's Encrypt проблема? пересобрал, но ssl так и не видать:

# ldd /usr/sbin/nginx
        linux-vdso.so.1 =>  (0x00007ffd8dc54000)
        libdl.so.2 => /lib64/libdl.so.2 (0x0000003598600000)
        librt.so.1 => /lib64/librt.so.1 (0x0000003598a00000)
        libpthread.so.0 => /lib64/libpthread.so.0 (0x0000003598200000)
        libcrypt.so.1 => /lib64/libcrypt.so.1 (0x0000003f44200000)
        libm.so.6 => /lib64/libm.so.6 (0x0000003598e00000)
        libpcre.so.0 => /lib64/libpcre.so.0 (0x0000003960e00000)
        libz.so.1 => /lib64/libz.so.1 (0x0000003599200000)
        libc.so.6 => /lib64/libc.so.6 (0x0000003597e00000)
        /lib64/ld-linux-x86-64.so.2 (0x0000003597a00000)
        libfreebl3.so => /lib64/libfreebl3.so (0x0000003f43e00000)

mrxk ()
Ответ на: комментарий от mrxk

Если OpenSSL статически вкомпилен, то на ldd можно и не смотреть.
Тогда такой вопрос - команда openssl ciphers -V показывает шифры от TLS 1.3?

bigbit ★★★★★ ()
Последнее исправление: bigbit (всего исправлений: 1)
Ответ на: комментарий от bigbit

их всего 3 штуки в списке:TLS_AES_256_GCM_SHA384: TLS_CHACHA20_POLY1305_SHA256: TLS_AES_128_GCM_SHA256

mrxk ()
Последнее исправление: mrxk (всего исправлений: 3)
Ответ на: комментарий от mrxk

И новый устанавливал nginx «чужой» https://codeit.guru/ru_RU/2020/04/nginx-1-18-0-stable-with-brotli-support-tls-1-3-final-rfc-8446-built-against-openssl-1-1-1g-for-red-hat-enterprise-linux-and-centos/ и допсертификаты ECDSA добавлял, результат ноль, как был протокол TLSv1.2 так и остался, есть предложения кроме обновления до centos 8?

mrxk ()
Ответ на: комментарий от t184256

по чужому

 # openssl s_client -connect yandex.ru:443 -tls1_3
CONNECTED(00000004)
depth=2 C = PL, O = Unizeto Technologies S.A., OU = Certum Certification Authority, CN = Certum Trusted Network CA
verify error:num=20:unable to get local issuer certificate
verify return:1
depth=1 C = RU, O = Yandex LLC, OU = Yandex Certification Authority, CN = Yandex CA
verify return:1
depth=0 CN = yandex.ru, O = Yandex LLC, OU = ITO, L = Moscow, ST = Russia, C = RU
verify return:1
---
Certificate chain
 0 s:CN = yandex.ru, O = Yandex LLC, OU = ITO, L = Moscow, ST = Russia, C = RU
   i:C = RU, O = Yandex LLC, OU = Yandex Certification Authority, CN = Yandex CA
 1 s:C = RU, O = Yandex LLC, OU = Yandex Certification Authority, CN = Yandex CA
   i:C = PL, O = Unizeto Technologies S.A., OU = Certum Certification Authority, CN = Certum Trusted Network CA
 2 s:C = PL, O = Unizeto Technologies S.A., OU = Certum Certification Authority, CN = Certum Trusted Network CA
   i:C = PL, O = Unizeto Sp. z o.o., CN = Certum CA............

по своему, который на сервере

   # openssl s_client -connect domain.ru:443 -tls1_3
CONNECTED(00000004)
140409995958016:error:1409442E:SSL routines:ssl3_read_bytes:tlsv1 alert protocol version:ssl/record/rec_layer_s3.c:1544:SSL alert number 70
---
no peer certificate available
---
No client certificate CA names sent
---
SSL handshake has read 7 bytes and written 237 bytes
Verification: OK
---
New, (NONE), Cipher is (NONE)
Secure Renegotiation IS NOT supported
Compression: NONE
Expansion: NONE
No ALPN negotiated
Early data was not sent
Verify return code: 0 (ok)

mrxk ()
Ответ на: комментарий от mrxk

Покажи openssl s_client -connect domain.ru:443 -tls1_3 -debug или если openssl сам собирал, то лучше собрать с выключенным OPENSSL_NO_SSL_TRACE, тогда будет доступна опция -trace, которая более информативная.

./config -v --prefix=$(realpath build) --debug enable-ssl-trace enable-trace
xpahos ★★★★★ ()

Нужен OpenSSL версии 1.1.1 или выше.

Вроде в 6ке - openssl-1.0.1e-58.el6_10.x86_64

mx__ ★★★★★ ()
Ответ на: комментарий от xpahos
# openssl s_client -connect domain.ru:443 -tls1_3 -debug
CONNECTED(00000004)
write to 0x10a9190 [0x10b7ab0] (237 bytes => 237 (0xED))
0000 - 16 03 01 00 e8 01 00 00-e4 03 03 31 b6 54 fe b0   ...........1.T..
0010 - 30 8b 41 5a ce 50 64 b7-4c 61 67 14 b9 d8 bb 85   0.AZ.Pd.Lag.....
0020 - f6 28 a9 71 e6 37 bc 1f-17 1f e1 20 a3 0d 25 10   .(.q.7..... ..%.
0030 - d5 19 c7 d1 be b2 2d 53-1f a3 44 6c 95 58 3c 4f   ......-S..Dl.X<O
0040 - fa 4e 7b e0 d4 92 b8 fb-96 4c 4a a6 00 08 13 02   .N{......LJ.....
0050 - 13 03 13 01 00 ff 01 00-00 93 00 00 00 12 00 10   ................
0060 - 00 00 0d 67 6f 76 6f 72-69 74 75 66 61 2e 72 75   ...domain.ru
0070 - 00 0b 00 04 03 00 01 02-00 0a 00 0c 00 0a 00 1d   ................
0080 - 00 17 00 1e 00 19 00 18-00 23 00 00 00 16 00 00   .........#......
0090 - 00 17 00 00 00 0d 00 1e-00 1c 04 03 05 03 06 03   ................
00a0 - 08 07 08 08 08 09 08 0a-08 0b 08 04 08 05 08 06   ................
00b0 - 04 01 05 01 06 01 00 2b-00 03 02 03 04 00 2d 00   .......+......-.
00c0 - 02 01 01 00 33 00 26 00-24 00 1d 00 20 32 0f c2   ....3.&.$... 2..
00d0 - 8c 41 0d f5 e5 2e dc f0-d0 d4 60 bb 54 c6 1b 90   .A........`.T...
00e0 - ab b4 16 e9 e1 e0 d1 7a-90 df 2e cf 16            .......z.....
read from 0x10a9190 [0x10ae7e3] (5 bytes => 5 (0x5))
0000 - 15 03 03 00 02                                    .....
read from 0x10a9190 [0x10ae7e8] (2 bytes => 2 (0x2))
0000 - 02 46                                             .F
139983184877312:error:1409442E:SSL routines:ssl3_read_bytes:tlsv1 alert protocol version:ssl/record/rec_layer_s3.c:1544:SSL alert number 70
---
no peer certificate available
---
No client certificate CA names sent
---
SSL handshake has read 7 bytes and written 237 bytes
Verification: OK
---
New, (NONE), Cipher is (NONE)
Secure Renegotiation IS NOT supported
Compression: NONE
Expansion: NONE
No ALPN negotiated
Early data was not sent
Verify return code: 0 (ok)
---
read from 0x10a9190 [0x10994d0] (8192 bytes => 0 (0x0))

сборка openssl-1.1.1g

./config -v --prefix=$(realpath build) --debug enable-ssl-trace enable-trace
дала ошибку

 ./config -v --prefix=/usr/local --openssldir=/usr/local --debug enable-ssl-trace enable-trace
Operating system: x86_64-whatever-linux2
/usr/bin/env __CNF_CPPDEFINES='' __CNF_CPPINCLUDES='' __CNF_CPPFLAGS='' __CNF_CFLAGS='' __CNF_CXXFLAGS='' __CNF_LDFLAGS='' __CNF_LDLIBS='' /usr/bin/perl ./Configure linux-x86_64 '--prefix=/usr/local' '--openssldir=/usr/local' '--debug' 'enable-ssl-trace' 'enable-trace'

Failure!  build file wasn't produced.
Please read INSTALL and associated NOTES files.  You may also have to look over
your available compiler tool chain or change your configuration.

***** Unsupported options: enable-trace
mrxk ()

Попробуй поставить OpenResty, они свой OpenSSL собирают.

deadNightTiger ★★★★ ()
Ответ на: комментарий от mrxk

openssl s_client -connect domain.ru:443 -trace - показывает данные только по TLS 1.0 и TLS 1.2

mrxk ()
Ответ на: комментарий от mrxk

03 03

Версия протокола TLS1.3

15 03 03 00 02

Вот эта часть говорит, что сервер вернул alert.

02 46

Это конкретная ошибка, которую вернул сервер. 0x46 == 70

https://tools.ietf.org/id/draft-ietf-tls-tls13-23.html#backward-compatibility

В общем действительно у тебя к конфиге есть «ssl_protocols TLSv1 TLSv1.1 TLSv1.2 TLSv1.3;» и перезапускался ли nginx после изменений?

xpahos ★★★★★ ()
Ответ на: комментарий от xpahos

перезапускался, начал грешить на php - проверил на конфиге без php - тоже самое - остается TLSv1.2

mrxk ()
Ответ на: комментарий от mrxk

sudo cat /proc/<pid воркер процесса>/maps можешь показать?

xpahos ★★★★★ ()
Ответ на: комментарий от xpahos

<pid воркер процесса> - что за процесс?

может шрифтов в системе не хватает?

mrxk ()
Ответ на: комментарий от mrxk

nginx показывает worker процессы и master в top/ps/etc, вряд ли шрифты могут влиять на это

xpahos ★★★★★ ()
Ответ на: комментарий от xpahos

у меня там куча сайтов, как там разобрать в top который к которому принадлежит?

mrxk ()
Ответ на: комментарий от mrxk

[code]# openssl ciphers -s -v «ECDHE:!COMPLEMENTOFDEFAULT» -bash: !COMPLEMENTOFDEFAULT": event not found[/code]

mrxk ()
Ответ на: комментарий от mrxk

Любой, сайты обрабатываются всеми процессами, он не делит их на процессы под определенный сайт. Будет что-то типа:

root     13443  0.0  0.0  33196   844 ?        Ss   Jul08   0:00 nginx: master process /usr/sbin/nginx -g daemon on; master_process on;
www-data 13445  0.0  0.0  45796  4784 ?        S    Jul08   0:00 nginx: worker process
xpahos ★★★★★ ()
Ответ на: комментарий от xpahos
7f42addb1000-7f42cd1b1000 rw-s 00000000 00:04 3062867330                 /dev/zero (deleted)
7f42cd1b1000-7f42cdbb1000 rw-s 00000000 00:04 3062867329                 /dev/zero (deleted)
7f42cdbb1000-7f42cdbc7000 r-xp 00000000 fd:01 12718530                   /lib64/libresolv-2.12.so
7f42cdbc7000-7f42cddc7000 ---p 00016000 fd:01 12718530                   /lib64/libresolv-2.12.so
7f42cddc7000-7f42cddc8000 r--p 00016000 fd:01 12718530                   /lib64/libresolv-2.12.so
7f42cddc8000-7f42cddc9000 rw-p 00017000 fd:01 12718530                   /lib64/libresolv-2.12.so
7f42cddc9000-7f42cddcb000 rw-p 00000000 00:00 0
7f42cddcb000-7f42cddd0000 r-xp 00000000 fd:01 12714119                   /lib64/libnss_dns-2.12.so
7f42cddd0000-7f42cdfcf000 ---p 00005000 fd:01 12714119                   /lib64/libnss_dns-2.12.so
7f42cdfcf000-7f42cdfd0000 r--p 00004000 fd:01 12714119                   /lib64/libnss_dns-2.12.so
7f42cdfd0000-7f42cdfd1000 rw-p 00005000 fd:01 12714119                   /lib64/libnss_dns-2.12.so
7f42cdfd1000-7f42cdfde000 r-xp 00000000 fd:01 12714122                   /lib64/libnss_files-2.12.so
7f42cdfde000-7f42ce1dd000 ---p 0000d000 fd:01 12714122                   /lib64/libnss_files-2.12.so
7f42ce1dd000-7f42ce1de000 r--p 0000c000 fd:01 12714122                   /lib64/libnss_files-2.12.so
7f42ce1de000-7f42ce1df000 rw-p 0000d000 fd:01 12714122                   /lib64/libnss_files-2.12.so
7f42ce1df000-7f42ce1e1000 r-xp 00000000 fd:01 12714557                   /lib64/libfreebl3.so
7f42ce1e1000-7f42ce3e0000 ---p 00002000 fd:01 12714557                   /lib64/libfreebl3.so
7f42ce3e0000-7f42ce3e1000 r--p 00001000 fd:01 12714557                   /lib64/libfreebl3.so
7f42ce3e1000-7f42ce3e2000 rw-p 00002000 fd:01 12714557                   /lib64/libfreebl3.so
7f42ce3e2000-7f42ce56d000 r-xp 00000000 fd:01 12714108                   /lib64/libc-2.12.so
7f42ce56d000-7f42ce76c000 ---p 0018b000 fd:01 12714108                   /lib64/libc-2.12.so
7f42ce76c000-7f42ce770000 r--p 0018a000 fd:01 12714108                   /lib64/libc-2.12.so
7f42ce770000-7f42ce772000 rw-p 0018e000 fd:01 12714108                   /lib64/libc-2.12.so
7f42ce772000-7f42ce776000 rw-p 00000000 00:00 0
7f42ce776000-7f42ce78b000 r-xp 00000000 fd:01 12718761                   /lib64/libz.so.1.2.3
7f42ce78b000-7f42ce98a000 ---p 00015000 fd:01 12718761                   /lib64/libz.so.1.2.3
7f42ce98a000-7f42ce98b000 r--p 00014000 fd:01 12718761                   /lib64/libz.so.1.2.3
7f42ce98b000-7f42ce98c000 rw-p 00015000 fd:01 12718761                   /lib64/libz.so.1.2.3
7f42ce98c000-7f42ce9b8000 r-xp 00000000 fd:01 12714073                   /lib64/libpcre.so.0.0.1
7f42ce9b8000-7f42cebb8000 ---p 0002c000 fd:01 12714073                   /lib64/libpcre.so.0.0.1
7f42cebb8000-7f42cebb9000 rw-p 0002c000 fd:01 12714073                   /lib64/libpcre.so.0.0.1
7f42cebb9000-7f42cebc0000 r-xp 00000000 fd:01 12714596                   /lib64/libcrypt-2.12.so
7f42cebc0000-7f42cedc0000 ---p 00007000 fd:01 12714596                   /lib64/libcrypt-2.12.so
7f42cedc0000-7f42cedc1000 r--p 00007000 fd:01 12714596                   /lib64/libcrypt-2.12.so
7f42cedc1000-7f42cedc2000 rw-p 00008000 fd:01 12714596                   /lib64/libcrypt-2.12.so
7f42cedc2000-7f42cedf0000 rw-p 00000000 00:00 0
7f42cedf0000-7f42cee07000 r-xp 00000000 fd:01 12714126                   /lib64/libpthread-2.12.so
7f42cee07000-7f42cf007000 ---p 00017000 fd:01 12714126                   /lib64/libpthread-2.12.so
7f42cf007000-7f42cf008000 r--p 00017000 fd:01 12714126                   /lib64/libpthread-2.12.so
7f42cf008000-7f42cf009000 rw-p 00018000 fd:01 12714126                   /lib64/libpthread-2.12.so
7f42cf009000-7f42cf00d000 rw-p 00000000 00:00 0
7f42cf00d000-7f42cf014000 r-xp 00000000 fd:01 12714170                   /lib64/librt-2.12.so
7f42cf014000-7f42cf213000 ---p 00007000 fd:01 12714170                   /lib64/librt-2.12.so
7f42cf213000-7f42cf214000 r--p 00006000 fd:01 12714170                   /lib64/librt-2.12.so
7f42cf214000-7f42cf215000 rw-p 00007000 fd:01 12714170                   /lib64/librt-2.12.so
7f42cf215000-7f42cf217000 r-xp 00000000 fd:01 12714111                   /lib64/libdl-2.12.so
7f42cf217000-7f42cf417000 ---p 00002000 fd:01 12714111                   /lib64/libdl-2.12.so
7f42cf417000-7f42cf418000 r--p 00002000 fd:01 12714111                   /lib64/libdl-2.12.so
7f42cf418000-7f42cf419000 rw-p 00003000 fd:01 12714111                   /lib64/libdl-2.12.so
7f42cf419000-7f42cf439000 r-xp 00000000 fd:01 12714018                   /lib64/ld-2.12.so
7f42cf627000-7f42cf62c000 rw-p 00000000 00:00 0
7f42cf635000-7f42cf636000 rw-p 00000000 00:00 0
7f42cf636000-7f42cf637000 rw-s 00000000 00:04 3062867335                 /dev/zero (deleted)
7f42cf637000-7f42cf638000 r--s 00000000 00:04 1441792                    /SYSV00000072 (deleted)
7f42cf638000-7f42cf639000 rw-p 00000000 00:00 0
7f42cf639000-7f42cf63a000 r--p 00020000 fd:01 12714018                   /lib64/ld-2.12.so
7f42cf63a000-7f42cf63b000 rw-p 00021000 fd:01 12714018                   /lib64/ld-2.12.so
7f42cf63b000-7f42cf63c000 rw-p 00000000 00:00 0
7f42cf63c000-7f42cfa6a000 r-xp 00000000 fd:01 11800153                   /usr/sbin/nginx
7f42cfc69000-7f42cfc9b000 r--p 0042d000 fd:01 11800153                   /usr/sbin/nginx
7f42cfc9b000-7f42cfcc1000 rw-p 0045f000 fd:01 11800153                   /usr/sbin/nginx
7f42cfcc1000-7f42cfce6000 rw-p 00000000 00:00 0
7f42d02de000-7f42d0995000 rw-p 00000000 00:00 0
7f42d0995000-7f42d0d46000 rw-p 00000000 00:00 0
7ffd7fdea000-7ffd7feff000 rw-p 00000000 00:00 0                          [stack]
7ffd7ffed000-7ffd7ffee000 r-xp 00000000 00:00 0                          [vdso]
ffffffffff600000-ffffffffff601000 r-xp 00000000 00:00 0                  [vsyscall]
mrxk ()
Ответ на: комментарий от mrxk

Понятно, он точно не слинкован с системными библиотеками. А что показывает strings /usr/sbin/nginx | grep SSL_read_early_data, ну или где у тебя лежит nginx.

xpahos ★★★★★ ()
Ответ на: комментарий от xpahos
]# strings /usr/sbin/nginx | grep SSL_read_early_data
SSL_read_early_data
SSL_read_early_data() failed
SSL_read_early_data
SSL_read_early_data
SSL_read_early_data

сейчас у меня nginx такой

nginx version: nginx/1.19.0
built by gcc 7.3.1 20180303 (Red Hat 7.3.1-5) (GCC)
built with OpenSSL 1.1.1f  31 Mar 2020
TLS SNI support enabled
configure arguments: --prefix=/etc/nginx --sbin-path=/usr/sbin/nginx --modules-path=/usr/lib64/nginx/modules --conf-path=/etc/nginx/nginx.conf --error-log-path=/var/log/nginx/error.log --http-log-path=/var/log/nginx/access.log --pid-path=/var/run/nginx.pid --lock-path=/var/run/nginx.lock --http-client-body-temp-path=/var/cache/nginx/client_temp --http-proxy-temp-path=/var/cache/nginx/proxy_temp --http-fastcgi-temp-path=/var/cache/nginx/fastcgi_temp --http-uwsgi-temp-path=/var/cache/nginx/uwsgi_temp --http-scgi-temp-path=/var/cache/nginx/scgi_temp --user=nginx --group=nginx --with-compat --with-file-aio --with-threads --with-http_addition_module --with-http_auth_request_module --with-http_dav_module --with-http_flv_module --with-http_gunzip_module --with-http_gzip_static_module --with-http_mp4_module --with-http_random_index_module --with-http_realip_module --with-http_secure_link_module --with-http_slice_module --with-http_ssl_module --with-http_stub_status_module --with-http_sub_module --with-http_v2_module --with-mail --with-mail_ssl_module --with-stream --with-stream_realip_module --with-stream_ssl_module --with-stream_ssl_preread_module --with-cc-opt='-O2 -g -pipe -Wall -Wp,-D_FORTIFY_SOURCE=2 -fexceptions -fstack-protector --param=ssp-buffer-size=4 -m64 -mtune=generic -fPIC' --with-ld-opt='-Wl,-z,relro -Wl,-z,now -pie' --with-openssl-opt=enable-tls1_3 --with-openssl=/root/openssl-1.1.1f

mrxk ()
Последнее исправление: mrxk (всего исправлений: 1)
Ответ на: комментарий от mrxk

А точно ли ты пытаешься конектиться к правильному nginx? Судя по всему что ты привел у тебя точно есть TLS1.3. Попробуй какой-нибудь тестовый конфиг с самоподписанным сертификатом где-нибудь в сторонке поднять и посмотреть как он себя будет вести.

xpahos ★★★★★ ()
Ответ на: комментарий от xpahos

самоподписанный This page is not secure (broken HTTPS). как понять конектюсь к правильному? ./config ………; make; make install; nginx -V показывает новую версию, что-то не так делаю с nginx?

mrxk ()
Ответ на: комментарий от mrxk

странные дела какие-то, вроде заработало после дописки протокола в одном из конфигов nginx, может совпадение. The connection to this site is encrypted and authenticated using TLS 1.3, X25519, and AES_256_GCM.

mrxk ()
Последнее исправление: mrxk (всего исправлений: 1)
Ограничение на отправку комментариев: только для зарегистрированных пользователей