電訊茶室 - Powered by Discuz! Board

標題: 你的翻墙系统有了TLS 1.3没有？ [打印本頁]

作者: 角色 時間: 2019-4-7 17:11 標題: 你的翻墙系统有了TLS 1.3没有？

本帖最後由角色於 2019-4-7 17:17 編輯

为了保护着传送的信息没有收到干扰，你的翻墙系统安装了TLS 1.3没有？[1]

翻墙历史和最新信息[2],[3],[4]

References：
[1] https://www.rfa.org/cantonese/fi ... 09282018082314.html
[2] https://chinadigitaltimes.net/ch ... %E5%B0%81%E9%94%81/
[3] https://github.com/shadowsocks/shadowsocks-org/issues/48
[4] https://www.aboluowang.com/2018/0929/1181331.html
[5] https://thinkgust.blogspot.com/2017/10/blog-post_17.html
[6] https://www.chromeba.net/twitter ... 8D%8F%E8%AE%AE.html

作者: tomleehk 時間: 2020-4-6 10:34

本帖最後由 tomleehk 於 2020-4-8 23:01 編輯

要碓保連線只行TLS 1.3

lighttpd config file需要加入如下
  ssl.openssl.ssl-conf-cmd = ("Ciphersuites" => "TLS_AES_128_GCM_SHA256")+("Protocol" => "-ALL, TLSv1.3")
  ssl.use-sslv2 = "disable"
  ssl.use-sslv3 = "disable"

CDN, 如cloudflare需要設定如下
SSL/TLS, 選擇tab<<Edge Certificates>>
TLS 1.3 - On
Minimum TLS Version - TLS 1.3

[attach]4518[/attach]

根據
https://www.v2ray.com/chapter_02/05_transport.html
v2ray設定
allowInsecureCiphers: true | false
是否允许不安全的加密方式。默认情况下 TLS 只使用 TLS 1.3 推荐的加密算法套件，开启这一选项会增加一些与 TLS 1.2 兼容的加密套件。

所以v2ray無需特定設定

根據
https://support.cloudflare.com/h ... derstanding-TLS-1-3
用chrome去check你嘅webserver 或者經CDN website,連線喺唔喺行tls1.3
[attach]4520[/attach]

初步感覺latency有改善

作者: tomleehk 時間: 2020-4-6 23:53

本帖最後由 tomleehk 於 2020-4-7 01:08 編輯

Ocserv 要碓保連線handshake時只行TLS 1.3, config template 如下

tls-priorities = "SECURE128:+SECURE192:-VERS-DTLS-ALL:-VERS-TLS-ALL:+VERS-DTLS1.2:+VERS-TLS1.3"

CISCO AnyConnect client 成功連線後會改行DTLS1.2, 所以tls1.3及dtls1.2都要存在喺ocserv config template

詳見
How to use Priority Strings
https://gnutls.org/manual/html_node/Priority-Strings.html

歡迎光臨電訊茶室 (http://telecom-cafe.com/forum/)