<div dir="ltr"><div class="gmail_default" style="font-family:verdana,sans-serif"><br></div><div class="gmail_extra"><br><div class="gmail_quote">On 14 February 2018 at 16:34, Matt Caswell <span dir="ltr"><<a href="mailto:matt@openssl.org" target="_blank">matt@openssl.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class=""><br>
<br>
On 14/02/18 16:27, Richard Moore wrote:<br>
> If I run the following:<br>
><br>
>  openssl-1.1.1pre1 ciphers -tls1_3 -v<br>
<br>
</span>The man page says this about the "-tls1_3" option:<br>
<br>
"In combination with the B<-s> option, list the ciphers which would be<br>
used if TLSv1.3 were negotiated."<br>
<br>
So you need to add "-s". If you do that then you only get the TLSv1.3<br>
ciphers. It's a little strange that the option is ignored if no -s is<br>
supplied (you might think supplying -tls1_3 would automatically imply<br>
-s). But that is the way that all the -tls* options work, so this is<br>
nothing new in 1.1.1.<br></blockquote><div><br></div><div class="gmail_default" style="font-family:verdana,sans-serif">​I see thanks. That's very confusing, but yeah it seems to be there since 1.1.0. How would you feel about that being the default? I'm a little bit unclear about what the point of the option is otherwise?</div><div class="gmail_default" style="font-family:verdana,sans-serif"><br></div><div class="gmail_default" style="font-family:verdana,sans-serif">Thanks</div><div class="gmail_default" style="font-family:verdana,sans-serif"><br></div><div class="gmail_default" style="font-family:verdana,sans-serif">Rich.</div><div class="gmail_default" style="font-family:verdana,sans-serif">​</div></div></div></div>