<div dir="ltr"><div dir="ltr"><br></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Thu, Jun 13, 2019 at 12:28 PM Viktor Dukhovni <<a href="mailto:openssl-users@dukhovni.org">openssl-users@dukhovni.org</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">On Thu, Jun 13, 2019 at 10:49:14AM +0800, John Jiang wrote:<br>
<br>
> I got the point: the server certificate is ECDSA with curve secp256r1.<br>
> It works with RSA certificate and curves<br>
> sepc256r1/sepc384r1/sepc521r1/x25519/x448.<br>
<br>
See <a href="https://github.com/openssl/openssl/issues/4175#issuecomment-322915924" rel="noreferrer" target="_blank">https://github.com/openssl/openssl/issues/4175#issuecomment-322915924</a><br>
<br>
When using ECDSA with TLSv1.2, the group list MUST include the group<br>
used in the certificate.  Otherwise, you get no shared cipher as<br>
you reported. </blockquote><div>How about this point in TLSv1.3?<br></div><div>With my testing, the case "ECDSA certificate with curve secp256r1 + named group secp521r1" work fine with OpenSSL s_server and s_client.<br></div><div> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">You can *prefer* X25519, but you cannot only offer<br>
X25519.<br></blockquote>Just an intentional test.<br></div></div>