<div dir="ltr"><div dir="ltr"><div>Hello list,</div><div><br></div><div>unfortunately I have encountered some issues while trying to implement TLSv1.3 using mod_nss on my machine. Every attempt to reach the listening port is shut down with ‘Request header read timeout’ and gives back an empty reply from server. I have described the issue in more detail below. Any advice that would eventually lead to a functioning TLSv1.3 Apache web server is greatly appreciated.</div><div><br></div><div>My web server is running Fedora 28, Apache/2.4.34, NSS 3.38.0 and NSPR 4.19.0. I have built the latest version of mod_nss using the README stored in the cloned repository. Configuration of mod_nss is based mostly on Apache logs and the mod_nss.html file (config pasted below). Different Linux distributions report the same results.</div><div><br></div><div>As far as certificates are concerned, the gencert utility did not help. Gencert server certificate caused warnings of unexpected virtual names and kept timing out. For that reason, I decided to generate my own self-signed certificate to silence the warnings and hopefully get a response. At this point, I have tried various ways to generate and install a server certificate with no success. The current certificate does not raise any warnings but at the same time does not work with NSSEnforceValidCerts on. I can provide logs for both Apache and mod_nss with debug error level enabled but they only show useless information except for enabled/disabled ciphers and the previously mentioned ‘Request header read timeout’.</div><div><br></div><div><conf.d/nss.conf></div><div><br></div><div>Listen 443</div><div>AddType application/x-x509-ca-cert .crt</div><div>AddType application/x-pkcs7-crl    .crl</div><div>NSSPassPhraseDialog  file:/usr/local/mod_nss/password.conf</div><div>NSSPassPhraseHelper /usr/sbin/nss_pcache</div><div>NSSSessionCacheSize 10000</div><div>NSSSession3CacheTimeout 86400</div><div>NSSRandomSeed startup builtin</div><div>NSSRenegotiation off</div><div>NSSRequireSafeNegotiation off</div><div><br></div><div><VirtualHost _default_:443></div><div>DocumentRoot “/var/www/html”</div><div>ServerName <a href="http://www.example.com:443">www.example.com:443</a></div><div>ErrorLog /etc/httpd/logs/nss_error_log</div><div>TransferLog /etc/httpd/logs/access_log</div><div>LogLevel debug</div><div>NSSEngine on</div><div>NSSCipherSuite +aes_128_sha_256,+aes_256_sha_256,+ecdhe_ecdsa_aes_128_gcm_sha_256,+ecdhe_ecdsa_aes_128_sha,+ecdhe_ecdsa_aes_256_sha,+ecdhe_rsa_aes_128_gcm_sha_256,+ecdhe_rsa_aes_128_sha,+ecdhe_rsa_aes_256_sha,+rsa_aes_128_gcm_sha_256,+rsa_aes_128_sha,+rsa_aes_256_sha,+aes_128_gcm_sha_256,+aes_256_gcm_sha_384,+chacha20_poly1305_sha_256</div><div>NSSProtocol TLSv1.0,TLSv1.1,TLSv1.2,TLSv1.3</div><div>NSSNickname example</div><div>NSSEnforceValidCerts off</div><div>NSSCertificateDatabase /etc/httpd/alias</div><div>NSSVerifyClient none</div><div>NSSOCSP off</div><div><Files ~ “\.(cgi|shtml|phtml|php3?)$“></div><div>    NSSOptions +StdEnvVars</div><div></Files></div><div><Directory “/etc/httpd/cgi-bin”></div><div>    NSSOptions +StdEnvVars</div><div></Directory></div><div></VirtualHost></div><div><br></div><div>What am I missing?</div><div>Thank you kindly for your time.</div></div></div>