OpenSSL

A collection of 2 posts

nginx

nginx 1.19.4 以降で ChaCha20-Poly1305 の運用が現実的になった件

はじめに 先日、nginx 1.19.4 がリリースされ、ssl_conf_command ディレクティブが追加されました。 これにより、ChaCha20-Poly1305 を使った暗号スイートの運用が現実的になりました。 ChaCha20-Poly1305 の概要 RFC 7905 (2016/06) より、TLS における ChaCha20-Poly1305 の利用が標準化され、様々なライブラリで利用可能になっています。 OpenSSL だと 1.1.0 以降で利用可能です。 ChaCha20-Poly1305 は、ストリーム暗号である ChaCha20 とメッセージ認証符号である Poly1305 を組み合わせた、認証付き暗号です。 ChaCha20-Poly1305 はソフトウェア処理に向いた、簡潔なアルゴリズムです。 AES

  • teru
    teru
nginx

nginx と openssl-1.1.1 で TLS 1.3 の暗号スイートを "ムリヤリ" 設定する

2020/02/04 追記 こんなことしなくても openssl.cnf でデフォルト設定できるんですね。知らなかった…。 経緯 openssl 1.1.1 で TLS 1.3 がサポートされましたね。 nginx でも使えますが、実はまだ完全ではありません。 ssl_ciphers を設定しても、TLS 1.3 の暗号スイートは、指定した順序にはならず、デフォルトの下記の順になってしまいます。 TLS_AES_256_GCM_SHA384 TLS_CHACHA20_POLY1305_SHA256 TLS_AES_128_GCM_

  • teru
    teru