OpenSSL gost engine, nginx и curl

Здраствуйте.

Поставили задачу с интеграцией ГОСТовых алгоритмов (опционально) в web проект, для организации SSL соединений.
Сразу оговорюсь, что у нас нет требований регуляторов.
Сразу оговорюсь, что тему создал в этом разделе намерено, потому как с ОС от мелкомягких все понятно и так, а от гнутого софта я такого не ожидал.

На входе стоит один из дистрибутивов GNU/Linux, на котором крутится nginx.
Все действия выполнялись на одном хосте.
Настроил openssl согласно README и проверил:

Код
> openssl ciphers \| tr ":" "\n" \| grep GOST GOST2001-GOST89-GOST89 GOST94-GOST89-GOST89

Сгенерил самоподписаный сертификат и скормил его nginx. Он его проглатил. В конфигурации прописал:

Код
ssl_protocols TLSv1 TLSv1.1 TLSv1.2 ssl_ciphers "GOST2001-GOST89-GOST89:GOST94-GOST89-GOST89"; ssl_prefer_server_ciphers on;

Тестирую:

Код
> openssl s_client -connect 192.168.50.178:443 -state

Подлючение ок, в логе вижу:

Код
SSL-Session: Protocol : TLSv1.2 Cipher : GOST2001-GOST89-GOST89

Казалось что вин, но нет. Тот же curl не хочет работать по гостовым чиперам.

Код

> curl -v -k https://192.168.50.178
* Rebuilt URL to: https://192.168.50.178/
*   Trying 192.168.50.178...
* Connected to 192.168.50.178 (192.168.50.178) port 443 (#0)
* successfully set certificate verify locations:
*   CAfile: none
  CApath: /etc/ssl/certs/
* TLSv1.2, TLS handshake, Client hello (1):
* TLSv1.2, TLS alert, Server hello (2):
* error:14077410:SSL routines:SSL23_GET_SERVER_HELLO:sslv3 alert handshake failure
* Closing connection 0
curl: (35) error:14077410:SSL routines:SSL23_GET_SERVER_HELLO:sslv3 alert handshake failure

И жестко задать чиперы не получается:

Код

> curl -v --ciphers "GOST2001-GOST89-GOST89:GOST94-GOST89-GOST89" -k https://192.168.50.178
* Rebuilt URL to: https://192.168.50.178/
*   Trying 192.168.50.178...
* Connected to 192.168.50.178 (192.168.50.178) port 443 (#0)
* failed setting cipher list: GOST2001-GOST89-GOST89:GOST94-GOST89-GOST89
* Closing connection 0
curl: (59) failed setting cipher list: GOST2001-GOST89-GOST89:GOST94-GOST89-GOST89

И вот тут стало мне грустно, получается, что наличие поддержки ГОСТов в openssl, для конечного софта, который этот openssl пользует, не дает ни каких гарантий его работоспособности.
Я наивно считал, что уж в 2015 году, спустя много лет после добавления рукоделий КриптоКом в официальную ветку openssl, в песочнице opensource можно будет пользовать ГОСТы для SSL.

Может я рукожоп и на самом деле все должно работать?

Логин:
Пароль:
	Запомнить меня на этом компьютере

Забыли свой пароль?

ex-troll Guest	#2 Это нравится:0 Да/0 Нет 10.04.2015 16:02:27 Итого: Все, что использует OpenSSL - да. Все, что импользует NSS - нет и похоже что не будет.