<div dir="ltr">I've in the mean time noticed Nicholas mentioned custom OpenSSL builds in the ticket, which I obviously didn't read through well enough. Long week, I apologize for the noise.<br></div><br><div class="gmail_quote"><div dir="ltr">On Thu, 3 Jan 2019 at 23:08, Guilherme Andrade <<a href="mailto:g@gandrade.net">g@gandrade.net</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr"><div>Fair enough :-)<br><br>The intention behind my suggestion to Nicholas was not to misguide, but rather to present an alternative in case everything else fails - one that has worked for me in the past, albeit for different reasons (using EC ciphers in Amazon Linux.)<br><br>However, this being cryptography and me a layman in it, I'll humbly atone for my heresy in case I've given terrible advice (no sarcasm, truly.)<br></div><br><div class="gmail_quote"><div dir="ltr">On Thu, 3 Jan 2019 at 22:11, Ingela Andin <<a href="mailto:ingela.andin@gmail.com" target="_blank">ingela.andin@gmail.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr"><div>I say it would be a lot easier to configure the erlang cipher suites the way you like and skip trying to tweak OpenSSL.  Please see ERL382.</div><div><br></div><div>Regards Ingela Erlang/OTP team<br> </div></div><br><div class="gmail_quote"><div dir="ltr">Den tors 3 jan. 2019 kl 22:29 skrev Guilherme Andrade <<a href="mailto:g@gandrade.net" target="_blank">g@gandrade.net</a>>:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr"><div dir="ltr"><div><div><div>Hello,<br><br></div></div>Some people have worked around the issue by building OpenSSL separately and statically linking it against ERTS. This does have the disadvantage of not benefiting from distro package upgrades, though. <br><br>There's a tutorial that lists the appropriate steps[1].<br><br></div><div>(I know this doesn't solve your particular problem, but it might work out as an alternative in case you haven't considered it already - depending on your particular requirements.)<br><br>[1]: <a href="https://github.com/lrascao/erlang-ec2-build" target="_blank">https://github.com/lrascao/erlang-ec2-build</a><br></div></div></div><br><div class="gmail_quote"><div dir="ltr">On Thu, 3 Jan 2019 at 20:18, Nicholas Lundgaard <<a href="mailto:nalundgaard@gmail.com" target="_blank">nalundgaard@gmail.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">Hi,<br>
<br>
I wanted to call ERL-823 (<a href="https://bugs.erlang.org/browse/ERL-823" rel="noreferrer" target="_blank">https://bugs.erlang.org/browse/ERL-823</a>) to this list's attention. My company operates Erlang microservices in AWS on a kerl-built OTP installation on Amazon Linux (RedHat/CentOS-based), and we've encountered a serious challenge to upgrading to OTP 21: When you disable OpenSSL EC ciphers during an OTP build, which is necessary to build an OTP installation that doesn't erroneously think it has a bunch of EC ciphers that aren't built into the underlying OpenSSL, you're no longer able to connect to <a href="http://google.com" rel="noreferrer" target="_blank">google.com</a> via https (not to mention many, many other web properties, like much of AWS infrastructure).<br>
<br>
It confuses me that there is not a simpler way to align the Erlang crypto/ssl cipher support with the underlying openssl installation it's linked to, but that notwithstanding, It would be really helpful to have a flag to build OTP with support for RedHat/Fedora's EC cipher subset, or something similar to this. <br>
<br>
Thanks,<br>
—Nicholas Lundgaard<br>
_______________________________________________<br>
erlang-questions mailing list<br>
<a href="mailto:erlang-questions@erlang.org" target="_blank">erlang-questions@erlang.org</a><br>
<a href="http://erlang.org/mailman/listinfo/erlang-questions" rel="noreferrer" target="_blank">http://erlang.org/mailman/listinfo/erlang-questions</a><br>
</blockquote></div><br clear="all"><br>-- <br><div dir="ltr" class="gmail-m_5163196573825383869gmail-m_7280994048710514888gmail-m_-5312068053304505219gmail_signature"><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr">Guilherme<br></div></div></div></div></div></div>
_______________________________________________<br>
erlang-questions mailing list<br>
<a href="mailto:erlang-questions@erlang.org" target="_blank">erlang-questions@erlang.org</a><br>
<a href="http://erlang.org/mailman/listinfo/erlang-questions" rel="noreferrer" target="_blank">http://erlang.org/mailman/listinfo/erlang-questions</a><br>
</blockquote></div>
</blockquote></div><br clear="all"><br>-- <br><div dir="ltr" class="gmail-m_5163196573825383869gmail_signature"><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr">Guilherme<br></div></div></div></div></div></div></div>
</blockquote></div><br clear="all"><br>-- <br><div dir="ltr" class="gmail_signature"><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr">Guilherme<br></div></div></div></div></div></div>