Great, that works, thank you. Is this the default behavior when using the C API?<div><br></div><div>Thanks,</div><div>David<span></span></div><div><br>On Sunday, April 5, 2015, Matt Caswell <<a href="mailto:matt@openssl.org">matt@openssl.org</a>> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><br>
<br>
On 05/04/15 23:42, Matt Caswell wrote:<br>
><br>
><br>
> On 05/04/15 22:04, David Rufino wrote:<br>
>> Hello,<br>
>><br>
>> It's possible I'm doing something wrong here, but I can't seem to<br>
>> negotiate ecdhe with an elliptic curve other than P-256. To reproduce<br>
>> the issue, using openssl 1.0.2<br>
>><br>
>> openssl s_server  -key server.key -cert server.crt -msg -debug -dhparam<br>
>> dhparam.pem  -cipher ECDHE-RSA-AES128-SHA -tls1_2<br>
>><br>
>> gnutls-cli 127.0.0.1 -p 4433 -d 4 --insecure<br>
>> --priority="NORMAL:-KX-ALL:+ECDHE-RSA:-CURVE-ALL:+CURVE-SECP224R1"<br>
>><br>
>> which gives the error<br>
>><br>
>> :SSL routines:ssl3_get_client_hello:no shared cipher:s3_srvr.c:1366:<br>
>><br>
>> changing to p256r1 succeeds. is there a particular why the negotation<br>
>> would fail with p224 ? my understanding is that openssl supports all the<br>
>> nist curves.<br>
><br>
><br>
> Try adding "-named_curve secp224r1" to your s_server arguments. This<br>
> specifies the curve to use for ECDHE keys. The default if you don't<br>
> specify a named curve is P-256 which is why it works when you are using<br>
> that curve.<br>
<br>
BTW, you can also use "-named_curve auto", which will just pick an<br>
appropriate curve.<br>
<br>
Matt<br>
<br>
_______________________________________________<br>
openssl-users mailing list<br>
To unsubscribe: <a href="https://mta.openssl.org/mailman/listinfo/openssl-users" target="_blank">https://mta.openssl.org/mailman/listinfo/openssl-users</a><br>
</blockquote></div>