# HG changeset patch # User Yaroslav Zhuravlev # Date 1678486627 0 # Node ID 37e082fd009c9a9e56ce8dbeb6a78ceafe8284bc # Parent 39a5ac34d79486bbc4cc81b9365d83955b13b671 Added TLSv1.3 to the default value of ssl_protocols and friends. diff --git a/xml/en/docs/http/configuring_https_servers.xml b/xml/en/docs/http/configuring_https_servers.xml --- a/xml/en/docs/http/configuring_https_servers.xml +++ b/xml/en/docs/http/configuring_https_servers.xml @@ -8,7 +8,7 @@
@@ -31,7 +31,7 @@ server { server_name www.example.com; ssl_certificate www.example.com.crt; ssl_certificate_key www.example.com.key; - ssl_protocols TLSv1 TLSv1.1 TLSv1.2; + ssl_protocols TLSv1 TLSv1.1 TLSv1.2 TLSv1.3; ssl_ciphers HIGH:!aNULL:!MD5; ... } @@ -59,7 +59,7 @@ The directives +Version 1.23.4 and later: the default SSL protocols are TLSv1, +TLSv1.1, TLSv1.2, and TLSv1.3 (if supported by the OpenSSL library). + + + Version 1.9.1 and later: the default SSL protocols are TLSv1, TLSv1.1, and TLSv1.2 (if supported by the OpenSSL library). diff --git a/xml/en/docs/http/ngx_http_grpc_module.xml b/xml/en/docs/http/ngx_http_grpc_module.xml --- a/xml/en/docs/http/ngx_http_grpc_module.xml +++ b/xml/en/docs/http/ngx_http_grpc_module.xml @@ -10,7 +10,7 @@ + rev="9">
@@ -633,7 +633,7 @@ Passphrases are tried in turn when loadi [TLSv1.1] [TLSv1.2] [TLSv1.3] -TLSv1 TLSv1.1 TLSv1.2 +TLSv1 TLSv1.1 TLSv1.2 TLSv1.3 http server location @@ -642,6 +642,13 @@ Passphrases are tried in turn when loadi Enables the specified protocols for requests to a gRPC SSL server. + + +The TLSv1.3 parameter is used by default +since 1.23.4. + + + diff --git a/xml/en/docs/http/ngx_http_proxy_module.xml b/xml/en/docs/http/ngx_http_proxy_module.xml --- a/xml/en/docs/http/ngx_http_proxy_module.xml +++ b/xml/en/docs/http/ngx_http_proxy_module.xml @@ -10,7 +10,7 @@ + rev="76">
@@ -2096,7 +2096,7 @@ Passphrases are tried in turn when loadi [TLSv1.1] [TLSv1.2] [TLSv1.3] -TLSv1 TLSv1.1 TLSv1.2 +TLSv1 TLSv1.1 TLSv1.2 TLSv1.3 http server location @@ -2106,6 +2106,13 @@ Passphrases are tried in turn when loadi Enables the specified protocols for requests to a proxied HTTPS server. + + +The TLSv1.3 parameter is used by default +since 1.23.4. + + + diff --git a/xml/en/docs/http/ngx_http_ssl_module.xml b/xml/en/docs/http/ngx_http_ssl_module.xml --- a/xml/en/docs/http/ngx_http_ssl_module.xml +++ b/xml/en/docs/http/ngx_http_ssl_module.xml @@ -10,7 +10,7 @@ + rev="60">
@@ -76,7 +76,7 @@ http { listen 443 ssl; keepalive_timeout 70; - ssl_protocols TLSv1 TLSv1.1 TLSv1.2; + ssl_protocols TLSv1 TLSv1.1 TLSv1.2 TLSv1.3; ssl_ciphers AES128-SHA:AES256-SHA:RC4-SHA:DES-CBC3-SHA:RC4-MD5; ssl_certificate /usr/local/nginx/conf/cert.pem; ssl_certificate_key /usr/local/nginx/conf/cert.key; @@ -595,7 +595,7 @@ ciphers when using the SSLv3 and TLS pro [TLSv1.1] [TLSv1.2] [TLSv1.3] -TLSv1 TLSv1.1 TLSv1.2 +TLSv1 TLSv1.1 TLSv1.2 TLSv1.3 http server @@ -609,6 +609,10 @@ The TLSv1.1 and TLSv1.3 parameter (1.13.0) works only when OpenSSL 1.1.1 or higher is used. + +The TLSv1.3 parameter is used by default +since 1.23.4. + diff --git a/xml/en/docs/http/ngx_http_uwsgi_module.xml b/xml/en/docs/http/ngx_http_uwsgi_module.xml --- a/xml/en/docs/http/ngx_http_uwsgi_module.xml +++ b/xml/en/docs/http/ngx_http_uwsgi_module.xml @@ -10,7 +10,7 @@ + rev="50">
@@ -1546,7 +1546,7 @@ Passphrases are tried in turn when loadi [TLSv1.1] [TLSv1.2] [TLSv1.3] -TLSv1 TLSv1.1 TLSv1.2 +TLSv1 TLSv1.1 TLSv1.2 TLSv1.3 http server location @@ -1556,6 +1556,13 @@ Passphrases are tried in turn when loadi Enables the specified protocols for requests to a secured uwsgi server. + + +The TLSv1.3 parameter is used by default +since 1.23.4. + + + diff --git a/xml/en/docs/mail/ngx_mail_ssl_module.xml b/xml/en/docs/mail/ngx_mail_ssl_module.xml --- a/xml/en/docs/mail/ngx_mail_ssl_module.xml +++ b/xml/en/docs/mail/ngx_mail_ssl_module.xml @@ -10,7 +10,7 @@ + rev="27">
@@ -69,7 +69,7 @@ mail { server { listen 993 ssl; - ssl_protocols TLSv1 TLSv1.1 TLSv1.2; + ssl_protocols TLSv1 TLSv1.1 TLSv1.2 TLSv1.3; ssl_ciphers AES128-SHA:AES256-SHA:RC4-SHA:DES-CBC3-SHA:RC4-MD5; ssl_certificate /usr/local/nginx/conf/cert.pem; ssl_certificate_key /usr/local/nginx/conf/cert.key; @@ -420,7 +420,7 @@ when the SSLv3 and TLS protocols are use [TLSv1.1] [TLSv1.2] [TLSv1.3] -TLSv1 TLSv1.1 TLSv1.2 +TLSv1 TLSv1.1 TLSv1.2 TLSv1.3 mail server @@ -434,6 +434,10 @@ The TLSv1.1 and TLSv1.3 parameter (1.13.0) works only when OpenSSL 1.1.1 or higher is used. + +The TLSv1.3 parameter is used by default +since 1.23.4. + diff --git a/xml/en/docs/stream/ngx_stream_proxy_module.xml b/xml/en/docs/stream/ngx_stream_proxy_module.xml --- a/xml/en/docs/stream/ngx_stream_proxy_module.xml +++ b/xml/en/docs/stream/ngx_stream_proxy_module.xml @@ -9,7 +9,7 @@ + rev="32">
@@ -543,7 +543,7 @@ Passphrases are tried in turn when loadi [TLSv1.1] [TLSv1.2] [TLSv1.3] -TLSv1 TLSv1.1 TLSv1.2 +TLSv1 TLSv1.1 TLSv1.2 TLSv1.3 stream server @@ -551,6 +551,13 @@ Passphrases are tried in turn when loadi Enables the specified protocols for connections to a proxied server. + + +The TLSv1.3 parameter is used by default +since 1.23.4. + + + diff --git a/xml/en/docs/stream/ngx_stream_ssl_module.xml b/xml/en/docs/stream/ngx_stream_ssl_module.xml --- a/xml/en/docs/stream/ngx_stream_ssl_module.xml +++ b/xml/en/docs/stream/ngx_stream_ssl_module.xml @@ -9,7 +9,7 @@ + rev="32">
@@ -62,7 +62,7 @@ stream { server { listen 12345 ssl; - ssl_protocols TLSv1 TLSv1.1 TLSv1.2; + ssl_protocols TLSv1 TLSv1.1 TLSv1.2 TLSv1.3; ssl_ciphers AES128-SHA:AES256-SHA:RC4-SHA:DES-CBC3-SHA:RC4-MD5; ssl_certificate /usr/local/nginx/conf/cert.pem; ssl_certificate_key /usr/local/nginx/conf/cert.key; @@ -444,7 +444,7 @@ when the SSLv3 and TLS protocols are use [TLSv1.1] [TLSv1.2] [TLSv1.3] -TLSv1 TLSv1.1 TLSv1.2 +TLSv1 TLSv1.1 TLSv1.2 TLSv1.3 stream server @@ -458,6 +458,10 @@ only when OpenSSL 1.0.1 or higher is use The TLSv1.3 parameter (1.13.0) works only when OpenSSL 1.1.1 or higher is used. + +The TLSv1.3 parameter is used by default +since 1.23.4. + diff --git a/xml/ru/docs/http/configuring_https_servers.xml b/xml/ru/docs/http/configuring_https_servers.xml --- a/xml/ru/docs/http/configuring_https_servers.xml +++ b/xml/ru/docs/http/configuring_https_servers.xml @@ -8,7 +8,7 @@
@@ -30,7 +30,7 @@ server { server_name www.example.com; ssl_certificate www.example.com.crt; ssl_certificate_key www.example.com.key; - ssl_protocols TLSv1 TLSv1.1 TLSv1.2; + ssl_protocols TLSv1 TLSv1.1 TLSv1.2 TLSv1.3; ssl_ciphers HIGH:!aNULL:!MD5; ... } @@ -58,7 +58,7 @@ server { можно ограничить соединения использованием только “сильных” версий и шифров SSL/TLS. По умолчанию nginx использует -“ssl_protocols TLSv1 TLSv1.1 TLSv1.2” и +“ssl_protocols TLSv1 TLSv1.1 TLSv1.2 TLSv1.3” и “ssl_ciphers HIGH:!aNULL:!MD5”, поэтому их явная настройка в общем случае не требуется. Следует отметить, что значения по умолчанию этих директив несколько раз @@ -108,7 +108,7 @@ http { ssl_certificate www.example.com.crt; ssl_certificate_key www.example.com.key; - ssl_protocols TLSv1 TLSv1.1 TLSv1.2; + ssl_protocols TLSv1 TLSv1.1 TLSv1.2 TLSv1.3; ssl_ciphers HIGH:!aNULL:!MD5; ... @@ -445,6 +445,11 @@ SNI поддерживается начиная с версии 0.5.23. +Версия 1.23.4 и более поздние: протоколами SSL по умолчанию являются +TLSv1, TLSv1.1, TLSv1.2 и TLSv1.3 (если поддерживается библиотекой OpenSSL). + + + Версия 1.9.1 и более поздние: протоколами SSL по умолчанию являются TLSv1, TLSv1.1 и TLSv1.2 (если поддерживается библиотекой OpenSSL). diff --git a/xml/ru/docs/http/ngx_http_grpc_module.xml b/xml/ru/docs/http/ngx_http_grpc_module.xml --- a/xml/ru/docs/http/ngx_http_grpc_module.xml +++ b/xml/ru/docs/http/ngx_http_grpc_module.xml @@ -10,7 +10,7 @@ + rev="9">
@@ -632,7 +632,7 @@ OpenSSL [TLSv1.1] [TLSv1.2] [TLSv1.3] -TLSv1 TLSv1.1 TLSv1.2 +TLSv1 TLSv1.1 TLSv1.2 TLSv1.3 http server location @@ -641,6 +641,13 @@ OpenSSL Разрешает указанные протоколы для запросов к gRPC SSL-серверу. + + +Параметр TLSv1.3 используется по умолчанию +начиная с 1.23.4. + + + diff --git a/xml/ru/docs/http/ngx_http_proxy_module.xml b/xml/ru/docs/http/ngx_http_proxy_module.xml --- a/xml/ru/docs/http/ngx_http_proxy_module.xml +++ b/xml/ru/docs/http/ngx_http_proxy_module.xml @@ -10,7 +10,7 @@ + rev="76">
@@ -2098,7 +2098,7 @@ OpenSSL [TLSv1.1] [TLSv1.2] [TLSv1.3] -TLSv1 TLSv1.1 TLSv1.2 +TLSv1 TLSv1.1 TLSv1.2 TLSv1.3 http server location @@ -2108,6 +2108,13 @@ OpenSSL Разрешает указанные протоколы для запросов к проксируемому HTTPS-серверу. + + +Параметр TLSv1.3 используется по умолчанию +начиная с 1.23.4. + + + diff --git a/xml/ru/docs/http/ngx_http_ssl_module.xml b/xml/ru/docs/http/ngx_http_ssl_module.xml --- a/xml/ru/docs/http/ngx_http_ssl_module.xml +++ b/xml/ru/docs/http/ngx_http_ssl_module.xml @@ -10,7 +10,7 @@ + rev="60">
@@ -76,7 +76,7 @@ http { listen 443 ssl; keepalive_timeout 70; - ssl_protocols TLSv1 TLSv1.1 TLSv1.2; + ssl_protocols TLSv1 TLSv1.1 TLSv1.2 TLSv1.3; ssl_ciphers AES128-SHA:AES256-SHA:RC4-SHA:DES-CBC3-SHA:RC4-MD5; ssl_certificate /usr/local/nginx/conf/cert.pem; ssl_certificate_key /usr/local/nginx/conf/cert.key; @@ -600,7 +600,7 @@ http { [TLSv1.1] [TLSv1.2] [TLSv1.3] -TLSv1 TLSv1.1 TLSv1.2 +TLSv1 TLSv1.1 TLSv1.2 TLSv1.3 http server @@ -614,6 +614,10 @@ http { Параметр TLSv1.3 (1.13.0) работает только при использовании OpenSSL 1.1.1 и выше. + +Параметр TLSv1.3 используется по умолчанию +начиная с 1.23.4. + diff --git a/xml/ru/docs/http/ngx_http_uwsgi_module.xml b/xml/ru/docs/http/ngx_http_uwsgi_module.xml --- a/xml/ru/docs/http/ngx_http_uwsgi_module.xml +++ b/xml/ru/docs/http/ngx_http_uwsgi_module.xml @@ -10,7 +10,7 @@ + rev="50">
@@ -1542,7 +1542,7 @@ OpenSSL [TLSv1.1] [TLSv1.2] [TLSv1.3] -TLSv1 TLSv1.1 TLSv1.2 +TLSv1 TLSv1.1 TLSv1.2 TLSv1.3 http server location @@ -1552,6 +1552,13 @@ OpenSSL Разрешает указанные протоколы для запросов к suwsgi-серверу. + + +Параметр TLSv1.3 используется по умолчанию +начиная с 1.23.4. + + + diff --git a/xml/ru/docs/mail/ngx_mail_ssl_module.xml b/xml/ru/docs/mail/ngx_mail_ssl_module.xml --- a/xml/ru/docs/mail/ngx_mail_ssl_module.xml +++ b/xml/ru/docs/mail/ngx_mail_ssl_module.xml @@ -10,7 +10,7 @@ + rev="27">
@@ -69,7 +69,7 @@ mail { server { listen 993 ssl; - ssl_protocols TLSv1 TLSv1.1 TLSv1.2; + ssl_protocols TLSv1 TLSv1.1 TLSv1.2 TLSv1.3; ssl_ciphers AES128-SHA:AES256-SHA:RC4-SHA:DES-CBC3-SHA:RC4-MD5; ssl_certificate /usr/local/nginx/conf/cert.pem; ssl_certificate_key /usr/local/nginx/conf/cert.key; @@ -422,7 +422,7 @@ mail { [TLSv1.1] [TLSv1.2] [TLSv1.3] -TLSv1 TLSv1.1 TLSv1.2 +TLSv1 TLSv1.1 TLSv1.2 TLSv1.3 mail server @@ -436,6 +436,10 @@ mail { Параметр TLSv1.3 (1.13.0) работает только при использовании OpenSSL 1.1.1 и выше. + +Параметр TLSv1.3 используется по умолчанию +начиная с 1.23.4. + diff --git a/xml/ru/docs/stream/ngx_stream_proxy_module.xml b/xml/ru/docs/stream/ngx_stream_proxy_module.xml --- a/xml/ru/docs/stream/ngx_stream_proxy_module.xml +++ b/xml/ru/docs/stream/ngx_stream_proxy_module.xml @@ -9,7 +9,7 @@ + rev="32">
@@ -543,7 +543,7 @@ OpenSSL [TLSv1.1] [TLSv1.2] [TLSv1.3] -TLSv1 TLSv1.1 TLSv1.2 +TLSv1 TLSv1.1 TLSv1.2 TLSv1.3 stream server @@ -551,6 +551,13 @@ OpenSSL Разрешает указанные протоколы для соединений с проксируемым сервером. + + +Параметр TLSv1.3 используется по умолчанию +начиная с 1.23.4. + + + diff --git a/xml/ru/docs/stream/ngx_stream_ssl_module.xml b/xml/ru/docs/stream/ngx_stream_ssl_module.xml --- a/xml/ru/docs/stream/ngx_stream_ssl_module.xml +++ b/xml/ru/docs/stream/ngx_stream_ssl_module.xml @@ -9,7 +9,7 @@ + rev="32">
@@ -62,7 +62,7 @@ stream { server { listen 12345 ssl; - ssl_protocols TLSv1 TLSv1.1 TLSv1.2; + ssl_protocols TLSv1 TLSv1.1 TLSv1.2 TLSv1.3; ssl_ciphers AES128-SHA:AES256-SHA:RC4-SHA:DES-CBC3-SHA:RC4-MD5; ssl_certificate /usr/local/nginx/conf/cert.pem; ssl_certificate_key /usr/local/nginx/conf/cert.key; @@ -447,7 +447,7 @@ stream { [TLSv1.1] [TLSv1.2] [TLSv1.3] -TLSv1 TLSv1.1 TLSv1.2 +TLSv1 TLSv1.1 TLSv1.2 TLSv1.3 stream server @@ -461,6 +461,10 @@ stream { Параметр TLSv1.3 (1.13.0) работает только при использовании OpenSSL 1.1.1 и выше. + +Параметр TLSv1.3 используется по умолчанию +начиная с 1.23.4. +