<div dir="ltr"><div>Hi,<br></div><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Fri, Jan 10, 2020 at 4:43 PM Nikos Mavrogiannopoulos <<a href="mailto:nmav@gnutls.org">nmav@gnutls.org</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">On Fri, Jan 10, 2020 at 2:22 AM John Jiang <<a href="mailto:john.sha.jiang@gmail.com" target="_blank">john.sha.jiang@gmail.com</a>> wrote:<br>
><br>
> On Thu, Jan 9, 2020 at 10:52 PM Nikos Mavrogiannopoulos <<a href="mailto:nmav@gnutls.org" target="_blank">nmav@gnutls.org</a>> wrote:<br>
>><br>
>> On Wed, Jan 8, 2020 at 6:01 AM John Jiang <<a href="mailto:john.sha.jiang@gmail.com" target="_blank">john.sha.jiang@gmail.com</a>> wrote:<br>
>> ><br>
>> > Hi,<br>
>> > I'm using GnuTLS 3.6.10.<br>
>> > It looks this version disables AES-256-CBC.<br>
>> > With my testing on gnutls-serv, if a client supports cipher suite TLS_RSA_WITH_AES_256_CBC_SHA256 only, the connecting just fails.<br>
>> > But if the client uses TLS_RSA_WITH_AES_128_GCM_SHA256, the connection can be established.<br>
>> > Could this cipher suite be enabled by priority string?<br>
>> > I have tried "NORMAL:+RSA:+AES-256-CBC", but it didn't work.<br>
>><br>
>> Hi,<br>
>>  AES-256-CBC is not disabled. SHA256 as HMAC is. You need to add<br>
>> +SHA256 in a priority string.<br>
><br>
> It works, thanks!<br>
><br>
> BTW, could I get SSLv3.0 back?<br>
> I tried "NORMAL:+VERS-SSL3.0:+RSA:+SHA256", but got protocol_version alert with TLS_RSA_WITH_AES_128_CBC_SHA and SSLv3.<br>
> If used TLSv1.0 and the same cipher suite, my test passed.<br>
<br>
It is disabled by default without any option to enable. You'll need to<br>
recompile the library and enable ssl3 in the configure step.<br></blockquote>I tried configure option "--enable-ssl3-support", and it worked.<br></div><div class="gmail_quote">Thanks!<br></div></div>