libtls: Increase default min version to 1.2
authorTobias Brunner <tobias@strongswan.org>
Wed, 27 Jan 2021 13:40:22 +0000 (14:40 +0100)
committerTobias Brunner <tobias@strongswan.org>
Fri, 12 Feb 2021 13:35:23 +0000 (14:35 +0100)
The older versions are generally considered deprecated (there is an
Internet-Draft that aims to do that formally).

conf/options/charon.opt
src/libtls/tls.c

index dd97264..868ee1d 100644 (file)
@@ -479,7 +479,7 @@ charon.tls.send_certreq_authorities = yes
        Whether to include CAs in a server's CertificateRequest message. May be
        disabled if clients can't handle a long list of CAs.
 
-charon.tls.version_min = 1.0
+charon.tls.version_min = 1.2
        Minimum TLS version to negotiate.
 
 charon.tls.version_max = 1.2
index da45f4b..ae14213 100644 (file)
@@ -463,8 +463,8 @@ static void determine_versions(private_tls_t *this)
        char *version_str;
 
        if (this->version_min == TLS_UNSPEC)
-       {
-               this->version_min = TLS_SUPPORTED_MIN;
+       {       /* default to TLS 1.2 as older versions are considered deprecated */
+               this->version_min = TLS_1_2;
 
                version_str = lib->settings->get_str(lib->settings, "%s.tls.version_min",
                                                                                         NULL, lib->ns);