
<html xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40">

<head>

<meta http-equiv="Content-Type" content="text/html; charset=Windows-1252">

<meta name="Generator" content="Microsoft Word 15 (filtered medium)">

<style><!--

/* Font Definitions */

@font-face

        {font-family:"Cambria Math";

        panose-1:2 4 5 3 5 4 6 3 2 4;}

@font-face

        {font-family:Calibri;

        panose-1:2 15 5 2 2 2 4 3 2 4;}

/* Style Definitions */

p.MsoNormal, li.MsoNormal, div.MsoNormal

        {margin:0in;

        font-size:10.0pt;

        font-family:"Calibri",sans-serif;}

span.EmailStyle19

        {mso-style-type:personal-reply;

        font-family:"Calibri",sans-serif;

        color:windowtext;}

.MsoChpDefault

        {mso-style-type:export-only;

        font-size:10.0pt;}

@page WordSection1

        {size:8.5in 11.0in;

        margin:1.0in 1.0in 1.0in 1.0in;}

div.WordSection1

        {page:WordSection1;}

--></style>

</head>

<body lang="EN-US" link="#0563C1" vlink="#954F72" style="word-wrap:break-word">

<div class="WordSection1">

<div>

<div>

<p class="MsoNormal"><span style="font-size:11.0pt">For everyone else’s benefit, this was sorted.  I’ve found that I needed something set in both vars.xml:<o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt"><o:p> </o:p></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt">  <X-PRE-PROCESS cmd="set" data="sip_tls_ciphers=AES256-GCM-SHA384"/><o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt"><o:p> </o:p></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt">and the sip_profile I wanted to restrict the ciphers for:<o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt"><o:p> </o:p></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt">    <param name="tls-ciphers" value="$${sip_tls_ciphers}"/><o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt"><o:p> </o:p></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt">Thanks<o:p></o:p></span></p>

</div>

</div>

<p class="MsoNormal"><span style="font-size:11.0pt"><o:p> </o:p></span></p>

<div style="border:none;border-top:solid #B5C4DF 1.0pt;padding:3.0pt 0in 0in 0in">

<p class="MsoNormal" style="mso-margin-top-alt:0in;margin-right:0in;margin-bottom:12.0pt;margin-left:.5in">

<b><span style="font-size:12.0pt;color:black">From: </span></b><span style="font-size:12.0pt;color:black">Michael Meehan <mmeehan@djsequel.com><br>

<b>Date: </b>Friday, June 24, 2022 at 9:09 AM<br>

<b>To: </b>freeswitch-users@lists.freeswitch.org <freeswitch-users@lists.freeswitch.org><br>

<b>Subject: </b>Using Specific TLS Ciphers (1.10.7)<o:p></o:p></span></p>

</div>

<p class="MsoNormal" style="margin-left:.5in"><span style="font-size:11.0pt">We’ve been trying to prevent using specific ciphers, mainly Diffie-Hellman.  According to the documentation I’ve seen and previous posts in this group, that should be accomplished

 by using something like this:<o:p></o:p></span></p>

<p class="MsoNormal" style="margin-left:.5in"><span style="font-size:11.0pt"> <o:p></o:p></span></p>

<p class="MsoNormal" style="margin-left:.5in"><span style="font-size:11.0pt">  <X-PRE-PROCESS cmd="set" data="sip_tls_ciphers=TLS_RSA_WITH_AES_128_CBC_SHA256"/><o:p></o:p></span></p>

<p class="MsoNormal" style="margin-left:.5in"><span style="font-size:11.0pt"> <o:p></o:p></span></p>

<p class="MsoNormal" style="margin-left:.5in"><span style="font-size:11.0pt">This doesn’t work.<o:p></o:p></span></p>

<p class="MsoNormal" style="margin-left:.5in"><span style="font-size:11.0pt"> <o:p></o:p></span></p>

<p class="MsoNormal" style="margin-left:.5in"><span style="font-size:11.0pt">This specific cipher is offered in the CLIENT HELLO and shown as also supported from the SERVER HELLO response amongst others, however,  we continue to see DH as being agreed upon:<o:p></o:p></span></p>

<p class="MsoNormal" style="margin-left:.5in"><span style="font-size:11.0pt"> <o:p></o:p></span></p>

<p class="MsoNormal" style="margin-left:.5in"><span style="font-size:11.0pt">tport_tls.c:974 tls_connect() tls_connect(0x7ff738006e70): events CONNECTING<o:p></o:p></span></p>

<p class="MsoNormal" style="margin-left:.5in"><span style="font-size:11.0pt">tport_tls.c:974 tls_connect() tls_connect(0x7ff738006e70): events NEGOTIATING<o:p></o:p></span></p>

<p class="MsoNormal" style="margin-left:.5in"><span style="font-size:11.0pt">tport_tls.c:974 tls_connect() tls_connect(0x7ff738006e70): events NEGOTIATING<o:p></o:p></span></p>

<p class="MsoNormal" style="margin-left:.5in"><span style="font-size:11.0pt">tport_tls.c:617 tls_post_connection_check() tls_post_connection_check(0x7ff738006e70): TLS cipher chosen (name): ECDHE-RSA-AES128-GCM-SHA256<o:p></o:p></span></p>

<p class="MsoNormal" style="margin-left:.5in"><span style="font-size:11.0pt">tport_tls.c:619 tls_post_connection_check() tls_post_connection_check(0x7ff738006e70): TLS cipher chosen (version): TLSv1/SSLv3<o:p></o:p></span></p>

<p class="MsoNormal" style="margin-left:.5in"><span style="font-size:11.0pt">tport_tls.c:622 tls_post_connection_check() tls_post_connection_check(0x7ff738006e70): TLS cipher chosen (bits/alg_bits): 128/128<o:p></o:p></span></p>

<p class="MsoNormal" style="margin-left:.5in"><span style="font-size:11.0pt">tport_tls.c:625 tls_post_connection_check() tls_post_connection_check(0x7ff738006e70): TLS cipher chosen (description): ECDHE-RSA-AES128-GCM-SHA256 TLSv1.2 Kx=ECDH     Au=RSA  Enc=AESGCM(128)

 Mac=AEAD<o:p></o:p></span></p>

<p class="MsoNormal" style="margin-left:.5in"><span style="font-size:11.0pt"> <o:p></o:p></span></p>

<p class="MsoNormal" style="margin-left:.5in"><span style="font-size:11.0pt">Other attempts have been made using the following, which also doesn’t appear to function as expected.<o:p></o:p></span></p>

<p class="MsoNormal" style="margin-left:.5in"><span style="font-size:11.0pt"> <o:p></o:p></span></p>

<p class="MsoNormal" style="margin-left:.5in"><span style="font-size:11.0pt">  <X-PRE-PROCESS cmd="set" data="sip_tls_ciphers=ALL:!ADH:!DH:!ECDH:!LOW:!EXP:!MD5:@STRENGTH"/><o:p></o:p></span></p>

<p class="MsoNormal" style="margin-left:.5in"><span style="font-size:11.0pt"> <o:p></o:p></span></p>

<p class="MsoNormal" style="margin-left:.5in"><span style="font-size:11.0pt">Any help is appreciated, thanks.<o:p></o:p></span></p>

<p class="MsoNormal" style="margin-left:.5in"><span style="font-size:11.0pt"> <o:p></o:p></span></p>

<p class="MsoNormal" style="margin-left:.5in"><span style="font-size:11.0pt">FreeSWITCH Version 1.10.7-release.13~64bit (-release.13 64bit)<o:p></o:p></span></p>

<p class="MsoNormal" style="margin-left:.5in"><span style="font-size:11.0pt">CENTOS 7 3.10.0-1160.62.1.el7.x86_64<o:p></o:p></span></p>

<p class="MsoNormal" style="margin-left:.5in"><span style="font-size:11.0pt"> <o:p></o:p></span></p>

</div>

</body>

</html>