<div dir="ltr">Hello openssl-users,<div><br>We came across a change in OpenSSL 1.1.1j that has introduced a regression.<br><br><a href="https://github.com/openssl/openssl/pull/13304">https://github.com/openssl/openssl/pull/13304</a> and <a href="https://github.com/openssl/openssl/pull/13305">https://github.com/openssl/openssl/pull/13305</a> introduced the behaviour change: when servername callback is set, we suppose that we are TLS1.3-capable (see <a href="https://github.com/openssl/openssl/issues/13291">https://github.com/openssl/openssl/issues/13291</a> as rationale)<br><br>When server has a secret key that is incompatible with TLS 1.3 (in our test setup it was DSA, but we expect the same behavior with, e.g, Brainpool curves) set in httpd, when connecting to it via s_client, we get an alert in response to a ClientHello. </div><div><br></div><div>It can be invisible for end-users because of downgrade dance, but I wonder if we have any real-life cases.</div><div><br></div><div>The relevant GH issue is <a href="https://github.com/openssl/openssl/issues/16075">https://github.com/openssl/openssl/issues/16075</a><br><br clear="all"><div>Many thanks!</div>-- <br><div dir="ltr" class="gmail_signature" data-smartmail="gmail_signature">SY, Dmitry Belyavsky</div></div></div>