Re: [radsecproxy] Error while connecting using TLS 1.3

Hi,

Am 27.11.19 um 18:30 schrieb Fabian Mauchle:

Not sure if DFN federation servers already support TLS 1.3. This requires the latest openssl 1.1.1.

yes, they do. Citing eduoram@dfn.de's annoncement from Nov 12:

ab sofort steht Ihnen auf beiden eduroam Föderationsservern des DFN das Protokoll TLSv1.3 zur Verfügung.

Testweise hatte ich TLSv1.3 bereits auf tld2.eduroam.de am Start.

Wen es interessiert Unterschiede zu TLSv1.2 entnehmen Sie bitte https://tools.ietf.org/html/rfc8446#page-8 z.B. “...Static RSA and Diffie-Hellman cipher suites are removed …” , “...Elliptic curve algorithms are now in the base spec, and new signature algorithms, such as EdDSA, are included …”

Sollten nun dennoch Probleme beim Verbindungsaufbau zu den RadSec Client/Server des DFN auftreten, die mir entgangen sind, kommen Sie bitte auf mich zu.

TLSv1.2 Verbindungen werden weiterhin unterstützt.

openssl s_client -connect tld2.eduroam.de:2083 -tls1_2 -showcerts oder openssl s_client -connect tld2.eduroam.de:2083 -tls1_3 -showcerts

-showcerts gibt die komplette Zertifikatskette aus.

For those who don't know German: TLS 1.2 still works, support is available in case of problems.

Regards, Martin