<div dir="ltr"><a href="https://github.com/openssl/openssl/pull/783">https://github.com/openssl/openssl/pull/783</a><div><div><br></div><div>Courtesy of David Benjamin.</div></div></div><br><div class="gmail_quote"><div dir="ltr">On Thu, Mar 3, 2016 at 4:34 PM Blumenthal, Uri - 0553 - MITLL <<a href="mailto:uri@ll.mit.edu">uri@ll.mit.edu</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">+1<br>
<br>
Sent from my BlackBerry 10 smartphone on the Verizon Wireless 4G LTE network.<br>
  Original Message  <br>
From: Hanno Böck<br>
Sent: Thursday, March 3, 2016 07:28<br>
To: <a href="mailto:openssl-dev@openssl.org" target="_blank">openssl-dev@openssl.org</a><br>
Reply To: <a href="mailto:openssl-dev@openssl.org" target="_blank">openssl-dev@openssl.org</a><br>
Subject: [openssl-dev] cipher order<br>
<br>
Hi,<br>
<br>
Last year I proposed to change the ciphering order in OpenSSL to always<br>
prefer AEAD cipher suites before CBC/HMAC-based ones:<br>
<a href="https://mta.openssl.org/pipermail/openssl-dev/2015-January/000421.html" rel="noreferrer" target="_blank">https://mta.openssl.org/pipermail/openssl-dev/2015-January/000421.html</a><br>
<br>
I just checked openssl 1.1.0 alpha and it still orders ciphers in an<br>
imho problematic way.<br>
<br>
Browsers have largely decided to implement GCM-modes only with AES128.<br>
Chrome is now about to change that. Not sure if other browsers will<br>
follow.<br>
<br>
Right now if you configure a server with openssl's cipher suite<br>
ordering it is likely that a connection will happen with AES256 in CBC<br>
mode instead of the (most likely more secure) AES128 in GCM mode.<br>
<br>
Can this be changed before 1.1.0 gets out?<br>
<br>
--<br>
Hanno Böck<br>
<a href="https://hboeck.de/" rel="noreferrer" target="_blank">https://hboeck.de/</a><br>
<br>
mail/jabber: <a href="mailto:hanno@hboeck.de" target="_blank">hanno@hboeck.de</a><br>
GPG: BBB51E42<br>
<br>
--<br>
openssl-dev mailing list<br>
To unsubscribe: <a href="https://mta.openssl.org/mailman/listinfo/openssl-dev" rel="noreferrer" target="_blank">https://mta.openssl.org/mailman/listinfo/openssl-dev</a><br>
</blockquote></div>