<table><tr><td style="">aacid added a comment.
</td><a style="text-decoration: none; padding: 4px 8px; margin: 0 8px 8px; float: right; color: #464C5C; font-weight: bold; border-radius: 3px; background-color: #F7F7F9; background-image: linear-gradient(to bottom,#fff,#f1f0f1); display: inline-block; border: 1px solid rgba(71,87,120,.2);" href="https://phabricator.kde.org/D16344">View Revision</a></tr></table><br /><div><div><blockquote style="border-left: 3px solid #8C98B8;
          color: #6B748C;
          font-style: italic;
          margin: 4px 0 12px 0;
          padding: 8px 12px;
          background-color: #F8F9FC;">
<div style="font-style: normal;
          padding-bottom: 4px;">In <a href="https://phabricator.kde.org/D16344#348886" style="background-color: #e7e7e7;
          border-color: #e7e7e7;
          border-radius: 3px;
          padding: 0 4px;
          font-weight: bold;
          color: black;text-decoration: none;">D16344#348886</a>, <a href="https://phabricator.kde.org/p/jtamate/" style="
              border-color: #f1f7ff;
              color: #19558d;
              background-color: #f1f7ff;
                border: 1px solid transparent;
                border-radius: 3px;
                font-weight: bold;
                padding: 0 4px;">@jtamate</a> wrote:</div>
<div style="margin: 0;
          padding: 0;
          border: 0;
          color: rgb(107, 116, 140);"><p>What protocol does KTcpSocket::SecureProtocols implement (I can't guess it)? If it is the same as <a href="http://doc.qt.io/qt-5/qssl.html" class="remarkup-link" target="_blank" rel="noreferrer">QSsl:SecureProtocols</a></p></div>
</blockquote>

<p>Yes, see ./src/core/ktcpsocket.cpp:89:</p>

<blockquote style="border-left: 3px solid #a7b5bf; color: #464c5c; font-style: italic; margin: 4px 0 12px 0; padding: 4px 12px; background-color: #f8f9fc;"><p>it does:<br />
 On the client side, this will send a TLS 1.0 Client Hello, enabling TLSv1_0 and SSLv3 connections. On the server side, this will enable both SSLv3 and TLSv1_0 connections.</p>

<p>Shouldn't it try with TLS 1.3 when available and fall back to TLS 1.2, but not lower (for security reason)?</p></blockquote>

<p>My opinion is that we should not try to be smarter than Qt here, that involves:</p>

<ul class="remarkup-list">
<li class="remarkup-list-item">Trusting them on what "SecureProtocols" means (according to qsslsocket_openssl.cpp i'd say that SecureProtocols is TlsV1_0OrLater, which makes sense to me)</li>
<li class="remarkup-list-item">Don't do fallbacks "client side" and let openssl do the actual protocol negotiation by itself</li>
</ul>

<p>Besides that, AFAICS from my about:config settings in Firefox, the min version it supports is 1 that according to <a href="https://support.mozilla.org/en-US/questions/1101896" class="remarkup-link" target="_blank" rel="noreferrer">https://support.mozilla.org/en-US/questions/1101896</a> it's TLS 1.0, so supporting less than that seems to aggressive to me at this point, yes there may be bugs, but we also need to let people use the web.</p></div></div><br /><div><strong>REPOSITORY</strong><div><div>R241 KIO</div></div></div><br /><div><strong>REVISION DETAIL</strong><div><a href="https://phabricator.kde.org/D16344">https://phabricator.kde.org/D16344</a></div></div><br /><div><strong>To: </strong>aacid<br /><strong>Cc: </strong>jtamate, carewolf, dfaure, stikonas, kde-frameworks-devel, michaelh, ngraham, bruns<br /></div>