<html><font size="2">Hi everyone,<br><br>i am planning to support SSLv3 and TLSv1.2 on the same Port via SNI. This has backwards-compatibility reasons.<br> <br>Using the "sslversion=SSLv3" or "options=NO_SSLv3" directives affect all services. The default and the SNI.<br>I was not able to use e.g. </font><font size="2">sslversion</font><font size="2"><font size="2">=SSLv3</font> for the default host and change to </font><font size="2">sslversion</font><font size="2"><font size="2">=TLSv1.2 on the SNI host. <br>The first sslversion directive read per conf-file seems to be set and may not be changed with later invocations, right?<br><br></font>So I ended up with restricting the SSLv3 / TLSv1.2 via ciphers only.<br>So the default service has SSLv3 ciphers and options=NO_SSLv2, the SNI service hast TLS1.2 ciphers only (thus only accepts TLSv1.2 connections)<br><br>When testing, i was not
able to connect with SSLv3 settings on the SNI service or vice versa for the default service- just what i wanted.<br><br>What are your opinions on security drawbacks with that approach? <br><br>Are cipher restrictions sufficient to sort out old SSLvX protocols and sort of FORCE TLS1.2 only?<br>Is it possible to use some SSLvX based negotiations prior to cipher-negotiation on the SNI-TLS1.2 service, because i did not explicitly use </font><font size="2"><font size="2">sslversion</font>=TLS1.2 directive?<br><br>The configuration would look like (simplified)<br><br>[s1default]<br>#sslVersion=SSLv3<br>ciphers= SSLv3-ciphers-only<br>accept = 127.0.0.1:1234<br>connect = 127.0.0.1:21234<br><br>[s1sni]<br>#sslVersion=TLSv1.2<br>ciphers = TLS1.2-ciphers-only<br>sni = s1default:s1sni.example.com<br>accept = 127.0.0.1:2345<br>connect = 127.0.0.1:22345<br><br>I would be glad if you could share your opinions<br><br>Best
Regards,<br>Michael<br><br> <br></font>
<br /><br />
______________________________________________________<br />
powered by Perfect-Privacy.com / Secure-Mail.biz - anonymous and secure internet.</html>