<div dir="ltr"><div>When we added X25519 to BoringSSL, we at the same time started made the server require clients supply a curve list (and otherwise we'd just pick a non-ECDHE cipher), because of this issue. That went in back in December 2015 and it's been running just fine. I'd recommend OpenSSL do the same.</div><div><br></div><div>Another option is to have separate notions of "most preferred" and "default" curve, but just requiring the curve list is cleaner. That turns out to be practical and aligns well with TLS 1.3. I think if we had to implement the "default" version, we'd probably have treated missing curve list as an advertisement of P-256, so if you prefer the other option, that seems a reasonable implementation strategy.</div><div><br></div><div>(I don't have any data on how prevalent such clients are. The issue was noticed during implementation, so we never actually saw the breakage.)</div><div><br></div><div>David</div><br><div class="gmail_quote"><div dir="ltr">On Fri, Sep 16, 2016 at 11:58 AM Michael Sierchio <<a href="mailto:kudzu@tenebras.com">kudzu@tenebras.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr" class="gmail_msg"><div class="gmail_extra gmail_msg"><br class="gmail_msg"><div class="gmail_quote gmail_msg">On Fri, Sep 16, 2016 at 8:52 AM, Salz, Rich <span dir="ltr" class="gmail_msg"><<a href="mailto:rsalz@akamai.com" class="gmail_msg" target="_blank">rsalz@akamai.com</a>></span> wrote:</div><div class="gmail_quote gmail_msg"><br class="gmail_msg"></div><div class="gmail_quote gmail_msg">...</div><div class="gmail_quote gmail_msg"></div></div></div><div dir="ltr" class="gmail_msg"><div class="gmail_extra gmail_msg"><div class="gmail_quote gmail_msg"><br class="gmail_msg"><blockquote class="gmail_quote gmail_msg" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">That's because most people have not moved to OpenSSL 1.1.0 yet.  I'm not joking, I think that's a major reason.</blockquote><div class="gmail_msg"><br class="gmail_msg"></div></div></div></div><div dir="ltr" class="gmail_msg"><div class="gmail_extra gmail_msg"><div class="gmail_quote gmail_msg"><div class="gmail_msg">Well, you've provided them with a reason. ;-) Srsly, thanks for not making the NIST curves the default.</div><div class="gmail_msg"><br class="gmail_msg"></div><div class="gmail_msg">- M </div></div></div></div><div dir="ltr" class="gmail_msg"><div class="gmail_extra gmail_msg"><div class="gmail_msg"><br class="gmail_msg"></div>-- <br class="gmail_msg"><div class="m_-767089881035037272gmail_signature gmail_msg" data-smartmail="gmail_signature"><div dir="ltr" class="gmail_msg">"Well," Brahma said, "even after ten thousand explanations, a fool is no wiser, but an intelligent man requires only two thousand five hundred."<div class="gmail_msg"><br class="gmail_msg">- The Mahābhārata</div></div></div>
</div></div>
--<br class="gmail_msg">
openssl-dev mailing list<br class="gmail_msg">
To unsubscribe: <a href="https://mta.openssl.org/mailman/listinfo/openssl-dev" rel="noreferrer" class="gmail_msg" target="_blank">https://mta.openssl.org/mailman/listinfo/openssl-dev</a><br class="gmail_msg">
</blockquote></div></div>