Экспериментальный сервер TLS 1.3: замена сертификатов
На тестовом сервере TLS 1.3, который я реализовал и некоторое время поддерживаю по адресу tls13.1d.pw, пришлось тоже перейти на TLS-сертификаты Let’s Encrypt. А это привело к замене цепочки с ECDSA на цепочку с RSA, что, конечно, не очень хорошо. Вообще, так как сервер экспериментальный и полностью самописный, замена сертификатов требует ручного вмешательства, поэтому “долгие” сертификаты удобнее, чем трёхмесячные. Но, в принципе, можно процесс автоматизировать.
Я как-то перестал описывать изменения тестового сервера на dxdt.ru: прошлая записка на эту тему датирована январём 2020 года. При этом сервер продолжают использовать, он даже помогает находить ошибки и неточности в реализациях TLS стороны клиента. Конечно, ошибки обнаруживаются и в самом сервере – их я стараюсь исправлять.
Адрес записки: https://dxdt.ru/2022/12/05/9351/
Похожие записки:
- Техническое: имена в TLS и Nginx
- CVE-2024-3661 (TunnelVision) и "уязвимость" всех VPN
- Реплика: backup-файлы в логах веб-сервера
- Ретроспектива заметок: апрель 2012 года
- Bluetooth и CVE-2023-45866
- Взлом Twitter и влияние на офлайн
- Уровни сигнатур клиентских подключений
- Ретроспектива заметок: сентябрь 2013 года
- Централизованные мессенджеры и многообразие мест хранения сообщений
- Заметки про искусственный интеллект
- Тест SSLLabs и X25519Kyber768
Комментарии читателей блога: 2
1. 7th December 2022, 21:04 // Читатель fandrey написал:
Забавно с твитере Летскрипт репостнул партнёрский твит что теперь всё для всех и даром :) (Elliptic Curve Cryptography (ECC) signatures are the future for #SSL…) https://twitter.com/dnsimple/status/1600516740550725633
полез глянуть что реально, и из гугла так и не понял, так довлючили они его весной или нет, гугл сюда в итоге с первой страницы занёс :)
2. 7th December 2022, 21:21 // Александр Венедюхин:
ECDSA у них есть, но, видимо, где-то что-то нужно переключить, а я пока что просто certbot использовал, который, наверное, не версии 2.0.
Написать комментарий