horstvogel
Goto Top

Pfsense Haproxy TLS 1.3 letsencrypt

Hallo,
wer oder was muss die Pfsense bzw. deren Module können damit zusammen mit ACME Client TLS 1.3 beherrscht wird? Und ab wann ist das sinnvoll? Viele Seiten stellen derzeit ja schon auf TLS 1.3 um, aber noch nicht alle Clients für alle möglichen Anwendungen können das vermutlich? Oder warum sollte man das noch verschieben?
Kann der Haproxy in PFsense das schon? Oder kann pfsense noch nicht openssl 1.1.1

Danke und einen schönen Sonntag.

Content-Key: 399618

Url: https://administrator.de/contentid/399618

Printed on: May 22, 2024 at 15:05 o'clock

Member: Dani
Solution Dani Jan 27, 2019 at 11:11:27 (UTC)
Goto Top
Moin,
mir ist noch nicht ganz klar, was der ACME Client mit TLS (1.3) zu tun hat.

Viele Seiten stellen derzeit ja schon auf TLS 1.3 um,
Echt? Mir sind bis dato nicht viele Seiten untergenommen.

Nach meinen aber noch nicht alle Clients für alle möglichen Anwendungen können das vermutlich?
Was meinst du mit Clients? Aktuelle Browser können mit TLS 1.3 umgehen. Wie es natürlich mit Anwendungen steht, kann dir allgemein niemand sagen. Wobei per se TLS 1.2 nicht sofort unter den Tisch fallen wird.

Kann der Haproxy in PFsense das schon? Oder kann pfsense noch nicht openssl 1.1.1
Für TLS 1.3 ist auf jeden Fall OpenSSL 1.1.1 Voraussetzung. Aktuell wirst du nicht drum rum kommen, selbst die Package zu kompilieren. Viele Distribution werden das Package erst bei der nächsten Release Out of the box bereitstellen.


Gruß,
Dani
Member: horstvogel
horstvogel Jan 27, 2019 updated at 13:21:08 (UTC)
Goto Top
Zitat von @Dani:

Moin,
mir ist noch nicht ganz klar, was der ACME Client mit TLS (1.3) zu tun hat.
Muss der Client welcher die Zertifikate von letsencrypt abholt, also nicht für TLS 1.3 angepasst werden...?


Nach meinen aber noch nicht alle Clients für alle möglichen Anwendungen können das vermutlich?
Was meinst du mit Clients? Aktuelle Browser können mit TLS 1.3 umgehen. Wie es natürlich mit Anwendungen steht, kann dir allgemein niemand sagen. Wobei per se TLS 1.2 nicht sofort unter den Tisch fallen wird.
z.B. kann der Samsung Browser auf meinen S9 noch kein TLS 1.3. Mit Client meine ich z.B. die Nextcloud Apps...

Also dann warte ich noch bis Pfsense das von Hause aus kann.

Danke!
Member: wiesi200
wiesi200 Jan 27, 2019 at 14:37:03 (UTC)
Goto Top
Zitat von @horstvogel:

Zitat von @Dani:

Moin,
mir ist noch nicht ganz klar, was der ACME Client mit TLS (1.3) zu tun hat.
Muss der Client welcher die Zertifikate von letsencrypt abholt, also nicht für TLS 1.3 angepasst werden...?

Hallo, nö @Dani hat da rech, hier muss nicht's angepasst werden. Bei HAProxy jedoch schon und beim Openssl Paket.
HAProxy braucht mindestens Version 1.8 und OpenSSL 1.1.1.

Nach meinen aber noch nicht alle Clients für alle möglichen Anwendungen können das vermutlich?
Was meinst du mit Clients? Aktuelle Browser können mit TLS 1.3 umgehen. Wie es natürlich mit Anwendungen steht, kann dir allgemein niemand sagen. Wobei per se TLS 1.2 nicht sofort unter den Tisch fallen wird.
z.B. kann der Samsung Browser auf meinen S9 noch kein TLS 1.3. Mit Client meine ich z.B. die Nextcloud Apps...

Hier hat man ein Fallback auf ältere Versionen. funktioniert problemlos.

Also dann warte ich noch bis Pfsense das von Hause aus kann.

Wenn du nicht selber viel basteln willst dann währ's sinnvoll zu warten.
Member: Dani
Dani Jan 27, 2019 updated at 15:29:30 (UTC)
Goto Top
Moin.
Muss der Client welcher die Zertifikate von letsencrypt abholt, also nicht für TLS 1.3 angepasst werden...?
Ja und Nein. Das hängt davon ab auf welche Bibliothek der ACME Client zurückgreift. Zu dem muss die Gegenstelle ebenfalls TLS 1.3 unterstützen. Wenn man sich anschaut, wie viele Webseiten nach wie vor TLS 1.0 unterstützen, wird es noch ein Weilche dauern, bis alle Admins in die Gänge gekommen. Höchstens die Browserhersteller üben entsprechend Druck aus.

z.B. kann der Samsung Browser auf meinen S9 noch kein TLS 1.3. Mit Client meine ich z.B. die Nextcloud Apps...
Wenn du Glück hast, rüstet Samsung dies mit einem Update nach. Nextcloud Apps muss es auch nicht können, sondern der Webserver welcher Nextcloud bereitstellt.


Gruß,
Dani