Re: [radsecproxy] Error while connecting using TLS 1.3

Having a senior moment, how do you specify tls 1.2 in openssl.cfg ?

Rgds Alex

On Thu, 28 Nov 2019 at 10:41, Martin Pauly pauly@hrz.uni-marburg.de wrote:

Hi,

Am 27.11.19 um 18:30 schrieb Fabian Mauchle:

...

Not sure if DFN federation servers already support TLS 1.3. This

requires the latest openssl 1.1.1.

yes, they do. Citing eduoram@dfn.de's annoncement from Nov 12:

...

ab sofort steht Ihnen auf beiden eduroam Föderationsservern des DFN das

Protokoll TLSv1.3 zur Verfügung.

...

Testweise hatte ich TLSv1.3 bereits auf tld2.eduroam.de am Start.

Wen es interessiert Unterschiede zu TLSv1.2 entnehmen Sie bitte

https://tools.ietf.org/html/rfc8446#page-8

...

z.B. “...Static RSA and Diffie-Hellman cipher suites are removed …” ,

“...Elliptic curve algorithms are now in the base spec, and new

...

  signature algorithms, such as EdDSA, are included …”

Sollten nun dennoch Probleme beim Verbindungsaufbau zu den RadSec

Client/Server des DFN auftreten, die mir entgangen sind, kommen Sie bitte auf mich zu.

...

TLSv1.2 Verbindungen werden weiterhin unterstützt.

openssl s_client -connect tld2.eduroam.de:2083 -tls1_2 -showcerts oder openssl s_client -connect tld2.eduroam.de:2083 -tls1_3 -showcerts

-showcerts gibt die komplette Zertifikatskette aus.

For those who don't know German: TLS 1.2 still works, support is available in case of problems.

Regards, Martin

-- Dr. Martin Pauly Phone: +49-6421-28-23527 HRZ Univ. Marburg Fax: +49-6421-28-26994 Hans-Meerwein-Str. E-Mail: pauly@HRZ.Uni-Marburg.DE D-35032 Marburg

---

radsecproxy mailing list radsecproxy@lists.nordu.net https://lists.nordu.net/listinfo/radsecproxy