<div>Hello,<br></div><div><br></div><div>No deeper research on my part. I just noticed the mailman3 snippet, and figured it's probably not a good idea to ship different SSL harderning snippets in various packages. Maintainers of apache2/nginx are probably in the best position to determine SSL options that are compatible with Debian, and maintaining their relevancy.<br></div><div><br></div><div class="protonmail_signature_block"><div class="protonmail_signature_block-user"><div>-- <br></div><div>Sampo Sorsa<br></div></div></div><div><br></div><div>‐‐‐‐‐‐‐ Original Message ‐‐‐‐‐‐‐<br></div><div> On Tuesday, December 4, 2018 9:55 PM, Thomas Ward <teward@dark-net.net> wrote:<br></div><div> <br></div><blockquote type="cite" class="protonmail_quote"><div dir="auto"><div>I should point out that "strong" options are typically only for the most modern grades of interactivity of SSL compatibility.  Therefore Cipherli.st's recommendations are not altogether the most same approach to this even if it's a non-default config snippet.<br></div><div dir="auto"><br></div><div dir="auto">Permit me to ask this, but what basis is being used by you to determine "strong" options here?  Purely <a href="http://cipherli.st">cipherli.st</a> or other sources of research as well to support the "strong" definition in this case?<br></div><div dir="auto"><br></div><div dir="auto"><br></div><div dir="auto">Thomas<br></div></div><div><br></div><div class="gmail_quote"><div dir="ltr">On Tue, Dec 4, 2018, 01:42 Sampo Sorsa <<a href="mailto:sorsasampo@protonmail.com">sorsasampo@protonmail.com</a> wrote:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div>Source: nginx<br></div><div> Severity: wishlist<br></div><div> <br></div><div> nginx could ship with /etc/nginx/snippets/ssl-strong.conf that contains strong SSL options that can be included easily.<br></div><div> <br></div><div> Currently at least mailman3 ships with /etc/mailman3/nginx.conf containing SSL options. It would be a good idea to provide these in one place and just include in other packages.<br></div><div> <br></div><div> <br></div><div> Perhaps consider relevant parts of <a href="https://cipherli.st/" rel="noreferrer noreferrer" target="_blank">https://cipherli.st/</a><br></div><div> <br></div></blockquote></div></blockquote><div><br></div>