返回列表 發帖

你的翻墙系统有了TLS 1.3没有?

本帖最後由 角色 於 2019-4-7 17:17 編輯

为了保护着传送的信息没有收到干扰,你的翻墙系统安装了TLS 1.3没有?[1]

翻墙历史和最新信息[2],[3],[4]


References:
[1] https://www.rfa.org/cantonese/fi ... 09282018082314.html
[2] https://chinadigitaltimes.net/ch ... %E5%B0%81%E9%94%81/
[3] https://github.com/shadowsocks/shadowsocks-org/issues/48
[4] https://www.aboluowang.com/2018/0929/1181331.html
[5] https://thinkgust.blogspot.com/2017/10/blog-post_17.html
[6] https://www.chromeba.net/twitter ... 8D%8F%E8%AE%AE.html

本帖最後由 tomleehk 於 2020-4-8 23:01 編輯

要碓保連線只行TLS 1.3

lighttpd config file需要加入如下
  ssl.openssl.ssl-conf-cmd = ("Ciphersuites" => "TLS_AES_128_GCM_SHA256")+("Protocol" => "-ALL, TLSv1.3")
  ssl.use-sslv2 = "disable"
  ssl.use-sslv3 = "disable"


CDN, 如cloudflare需要設定如下
SSL/TLS, 選擇tab<<Edge Certificates>>
TLS 1.3 - On
Minimum TLS Version - TLS 1.3



根據
https://www.v2ray.com/chapter_02/05_transport.html
v2ray設定
allowInsecureCiphers: true | false
是否允许不安全的加密方式。默认情况下 TLS 只使用 TLS 1.3 推荐的加密算法套件,开启这一选项会增加一些与 TLS 1.2 兼容的加密套件。


所以v2ray無需特定設定

根據
https://support.cloudflare.com/h ... derstanding-TLS-1-3
用chrome去check你嘅webserver 或者經CDN website,連線喺唔喺行tls1.3


初步感覺latency有改善
附件: 您需要登錄才可以下載或查看附件。沒有帳號?註冊

TOP

本帖最後由 tomleehk 於 2020-4-7 01:08 編輯

Ocserv 要碓保連線handshake時只行TLS 1.3, config template 如下

tls-priorities = "SECURE128:+SECURE192:-VERS-DTLS-ALL:-VERS-TLS-ALL:+VERS-DTLS1.2:+VERS-TLS1.3"

CISCO AnyConnect client 成功連線後會改行DTLS1.2, 所以tls1.3及dtls1.2都要存在喺ocserv config template

詳見
How to use Priority Strings
https://gnutls.org/manual/html_node/Priority-Strings.html

TOP

返回列表