<div dir="ltr">Hello.<br>I have a question about support of ECDHE cipher suites in kamailio-5.6.0 in centos7 with installed OpenSSL 1.0.2k-fips. We received kamailio with its modules from <a href="https://rpm.kamailio.org/">https://rpm.kamailio.org/</a>.<br>Our client can use only cipher suites:<br><br>TLS_AES_256_GCM_SHA384 (0x1302)<br>TLS_CHACHA20_POLY1305_SHA256 (0x1303)<br>TLS_AES_128_GCM_SHA256 (0x1301)<br>TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA (0xc00a)<br>TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (0xc014)<br>TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA (0xc009)<br>TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (0xc013)<br>TLS_EMPTY_RENEGOTIATION_INFO_SCSV (0x00ff)<br><br>And some of them are supported by our openssl:<br><br>$ openssl cipher -V<br>...<br>0xC0,0x14 - ECDHE-RSA-AES256-SHA    SSLv3 Kx=ECDH     Au=RSA  Enc=AES(256)  Mac=SHA1<br>0xC0,0x0A - ECDHE-ECDSA-AES256-SHA  SSLv3 Kx=ECDH     Au=ECDSA Enc=AES(256)  Mac=SHA1<br>...<br>0xC0,0x13 - ECDHE-RSA-AES128-SHA    SSLv3 Kx=ECDH     Au=RSA  Enc=AES(128)  Mac=SHA1<br>0xC0,0x09 - ECDHE-ECDSA-AES128-SHA  SSLv3 Kx=ECDH     Au=ECDSA Enc=AES(128)  Mac=SHA1<br>...<br><br>But when trying to connect with, for example, cipher suite ECDHE-RSA-AES256-SHA (the same with other 3 cipher suites), we receive, that it is not allowed:<br><br>$ openssl s_client -connect ${kamailio-serper-ip}:${kamailio-server-port} -cipher ECDHE-RSA-AES256-SHA<br>...<br>SSL handshake has read 7 bytes and written 121 bytes<br>---<br>New, (NONE), Cipher is (NONE)<br>Secure Renegotiation IS NOT supported<br>Compression: NONE<br>Expansion: NONE<br>No ALPN negotiated<br>SSL-Session:<br>    Protocol  : TLSv1.2<br>    Cipher    : 0000<br>...<br><br>To exclude the influence of other factors, I installed nginx on the same machine with usage of the same tls certificate and it can use cipher suites ECDHE-RSA-AES256-SHA and ECDHE-RSA-AES128-SHA.<br><br>$ openssl s_client -connect ${nginx-serper-ip}:${nginx-server-port} -cipher ECDHE-RSA-AES256-SHA<br>...<br>SSL handshake has read 3271 bytes and written 406 bytes<br>Verification: OK<br>---<br>New, TLSv1.0, Cipher is ECDHE-RSA-AES256-SHA<br>Server public key is 2048 bit<br>Secure Renegotiation IS supported<br>Compression: NONE<br>Expansion: NONE<br>No ALPN negotiated<br>SSL-Session:<br>    Protocol  : TLSv1.2<br>    Cipher    : ECDHE-RSA-AES256-SHA<br>...<br><br>So, the reason of failed handshake is, probably, kamailio.<br>Tried to add cipher_list modparam:<br><br>modparam("tls", "cipher_list", "ECDHE-RSA-AES256-SHA")<br><br>but result is the same:<br><br>$ openssl s_client -connect ${kamailio-serper-ip}:${kamailio-server-port} -cipher ECDHE-RSA-AES256-SHA<br>...<br>SSL handshake has read 7 bytes and written 121 bytes<br>---<br>New, (NONE), Cipher is (NONE)<br>Secure Renegotiation IS NOT supported<br>Compression: NONE<br>Expansion: NONE<br>No ALPN negotiated<br>SSL-Session:<br>    Protocol  : TLSv1.2<br>    Cipher    : 0000<br>...<br><br>Can you, please, help me to add support of cipher suites ECDHE-RSA-AES256-SHA and ECDHE-RSA-AES128-SHA to kamailio?<br></div>