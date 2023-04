> Добавлена новая настройка "tls_ffdhe_auto_groups" для включения протокола согласования групп FFDHE в TLS 1.3 при сборке с OpenSSL 3.0. Что это вообще такое?

Я ожидал добавления настроек для указания сиферов TLS 1.3, чтобы по умолчанию chacha20-Poly1305 был, но вместо этого добавили что-то непонятное. https://www.postfix.org/postconf.5.html#tls_ffdhe_auto_groups (из РФ без VPN НЕ доступен). The default list of FFDHE groups that Postfix enables in OpenSSL 3.0 and up includes just the 2048 and 3072-bit groups. Stronger FFDHE groups perform poorly and EC groups are a much better choice for the same security level. Postfix ignores group names that are unknown to OpenSSL, or that are known but not yet implemented. The FFDHE groups are largely a backup, in case some peer does not support EC key exchange, or EC key exchange needs to be disabled for some pressing reason. Реально, лучше бы добавили поддержку указания сиферов для TLS 1.3 было бы гораздо полезнее!