libtls: Reduce default max version to 1.2
authorTobias Brunner <tobias@strongswan.org>
Wed, 13 Jan 2021 14:26:33 +0000 (15:26 +0100)
committerTobias Brunner <tobias@strongswan.org>
Fri, 12 Feb 2021 13:35:23 +0000 (14:35 +0100)
Using TLS 1.3 with various EAP methods is not yet fully standardized, so we
don't enable it by default yet.

conf/options/charon.opt
src/libtls/tls.c

index eb835e8..fb69bd7 100644 (file)
@@ -476,7 +476,7 @@ charon.tls.suites
 charon.tls.version_min = 1.0
        Minimum TLS version to negotiate.
 
-charon.tls.version_max = 1.3
+charon.tls.version_max = 1.2
        Maximum TLS version to negotiate.
 
 charon.user
index 4cb68ba..8b9911a 100644 (file)
@@ -468,8 +468,8 @@ static void determine_versions(private_tls_t *this)
                }
        }
        if (this->version_max == TLS_UNSPEC)
-       {
-               this->version_max = TLS_SUPPORTED_MAX;
+       {       /* default to TLS 1.2 until 1.3 is stable for use in EAP */
+               this->version_max = TLS_1_2;
 
                version_str = lib->settings->get_str(lib->settings, "%s.tls.version_max",
                                                                                         NULL, lib->ns);