Pfsense Haproxy TLS 1.3 letsencrypt
Hallo,
wer oder was muss die Pfsense bzw. deren Module können damit zusammen mit ACME Client TLS 1.3 beherrscht wird? Und ab wann ist das sinnvoll? Viele Seiten stellen derzeit ja schon auf TLS 1.3 um, aber noch nicht alle Clients für alle möglichen Anwendungen können das vermutlich? Oder warum sollte man das noch verschieben?
Kann der Haproxy in PFsense das schon? Oder kann pfsense noch nicht openssl 1.1.1
Danke und einen schönen Sonntag.
wer oder was muss die Pfsense bzw. deren Module können damit zusammen mit ACME Client TLS 1.3 beherrscht wird? Und ab wann ist das sinnvoll? Viele Seiten stellen derzeit ja schon auf TLS 1.3 um, aber noch nicht alle Clients für alle möglichen Anwendungen können das vermutlich? Oder warum sollte man das noch verschieben?
Kann der Haproxy in PFsense das schon? Oder kann pfsense noch nicht openssl 1.1.1
Danke und einen schönen Sonntag.
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 399618
Url: https://administrator.de/forum/pfsense-haproxy-tls-1-3-letsencrypt-399618.html
Ausgedruckt am: 25.12.2024 um 13:12 Uhr
4 Kommentare
Neuester Kommentar
Moin,
mir ist noch nicht ganz klar, was der ACME Client mit TLS (1.3) zu tun hat.
Nach meinen aber noch nicht alle Clients für alle möglichen Anwendungen können das vermutlich?
Was meinst du mit Clients? Aktuelle Browser können mit TLS 1.3 umgehen. Wie es natürlich mit Anwendungen steht, kann dir allgemein niemand sagen. Wobei per se TLS 1.2 nicht sofort unter den Tisch fallen wird.
Gruß,
Dani
mir ist noch nicht ganz klar, was der ACME Client mit TLS (1.3) zu tun hat.
Viele Seiten stellen derzeit ja schon auf TLS 1.3 um,
Echt? Mir sind bis dato nicht viele Seiten untergenommen.Nach meinen aber noch nicht alle Clients für alle möglichen Anwendungen können das vermutlich?
Was meinst du mit Clients? Aktuelle Browser können mit TLS 1.3 umgehen. Wie es natürlich mit Anwendungen steht, kann dir allgemein niemand sagen. Wobei per se TLS 1.2 nicht sofort unter den Tisch fallen wird.
Kann der Haproxy in PFsense das schon? Oder kann pfsense noch nicht openssl 1.1.1
Für TLS 1.3 ist auf jeden Fall OpenSSL 1.1.1 Voraussetzung. Aktuell wirst du nicht drum rum kommen, selbst die Package zu kompilieren. Viele Distribution werden das Package erst bei der nächsten Release Out of the box bereitstellen.Gruß,
Dani
Zitat von @horstvogel:
Muss der Client welcher die Zertifikate von letsencrypt abholt, also nicht für TLS 1.3 angepasst werden...?
Hallo, nö @Dani hat da rech, hier muss nicht's angepasst werden. Bei HAProxy jedoch schon und beim Openssl Paket.Muss der Client welcher die Zertifikate von letsencrypt abholt, also nicht für TLS 1.3 angepasst werden...?
HAProxy braucht mindestens Version 1.8 und OpenSSL 1.1.1.
Nach meinen aber noch nicht alle Clients für alle möglichen Anwendungen können das vermutlich?
Was meinst du mit Clients? Aktuelle Browser können mit TLS 1.3 umgehen. Wie es natürlich mit Anwendungen steht, kann dir allgemein niemand sagen. Wobei per se TLS 1.2 nicht sofort unter den Tisch fallen wird.
z.B. kann der Samsung Browser auf meinen S9 noch kein TLS 1.3. Mit Client meine ich z.B. die Nextcloud Apps...Was meinst du mit Clients? Aktuelle Browser können mit TLS 1.3 umgehen. Wie es natürlich mit Anwendungen steht, kann dir allgemein niemand sagen. Wobei per se TLS 1.2 nicht sofort unter den Tisch fallen wird.
Hier hat man ein Fallback auf ältere Versionen. funktioniert problemlos.
Also dann warte ich noch bis Pfsense das von Hause aus kann.
Moin.
Gruß,
Dani
Muss der Client welcher die Zertifikate von letsencrypt abholt, also nicht für TLS 1.3 angepasst werden...?
Ja und Nein. Das hängt davon ab auf welche Bibliothek der ACME Client zurückgreift. Zu dem muss die Gegenstelle ebenfalls TLS 1.3 unterstützen. Wenn man sich anschaut, wie viele Webseiten nach wie vor TLS 1.0 unterstützen, wird es noch ein Weilche dauern, bis alle Admins in die Gänge gekommen. Höchstens die Browserhersteller üben entsprechend Druck aus. z.B. kann der Samsung Browser auf meinen S9 noch kein TLS 1.3. Mit Client meine ich z.B. die Nextcloud Apps...
Wenn du Glück hast, rüstet Samsung dies mit einem Update nach. Nextcloud Apps muss es auch nicht können, sondern der Webserver welcher Nextcloud bereitstellt.Gruß,
Dani