Как отключение SSLv3 на сервере Courier-IMAP влияет на старых агентов пользователя почты?
Я хотел бы смягчить пудель vuln. в моем сервере courier-imap. Я знаю, как это сделать. Я действительно обеспокоен тем, как это повлияет на MUA, особенно на старые. В Windows XP все еще есть пользователи, использующие Outlook Express 6. Есть ли какой-нибудь анализ, на котором MUA перестанет работать с отключенным SSLv3 со стороны сервера? Или, может быть, это абсолютно безопасное действие?
2 ответа
Попробовав это на прошлой неделе, я понял, что это сломало много клиентов. Это правда, что современный Outlook поддерживает TLS, но считает, что это означает, что начать с открытого текста, а затем перейти к шифрованию. Идея о том, что TLS может использоваться как ab initio cyphersuite, похоже, избежала его; всякий раз, когда я выбирал TLS, он настаивал на том, что хочет использовать порт IMAP 143, а не порт 993. IMAP/S. Хотя я признаюсь, что не являюсь администратором Windows, я не смог убедить его в обратном, и поскольку у меня нет никакого желания выставлять порт 143, что довольно заглушило меня.
Почта K-9 (v5.001) на телефонах Android также сломалась. ALPINE (2.11) под Linux, конечно, был в порядке. Я не могу говорить за Thunderbird на любой платформе, потому что к тому времени, когда мои пользователи (включая мою жену) закончили сгибать мои уши, меня убедили переключиться обратно.
Большая часть анализа, который я видел, предполагает, что в настоящее время не существует известных эксплойтов SSLv3 на основе IMAP/POP. Мой новый план - создать второй dovecot на порте 994, делая только TLS, и осторожно подбираю моих пользователей к поиску клиентов, которые работают на них. Если я увижу какие-либо сообщения о почтовых подвигах в дикой природе, это "осторожно" может стать более убедительным.
Изменить адрес mc0e комментарий ниже:
Твое распространенное заблуждение, и действительно, от которого я страдал много лет. Однако вера в то, что TLS может использоваться только для шифрования с помощью передачи из открытого текста, ошибочна и распространена.
Рассмотрим: смягчение POODLE основано на отключении SSLv3 для HTTPS-серверов; смягченные серверы могут говорить только по TLS. Если только вы не думаете, что HTTPS только что получил первую фазу открытого текста, которой не было до POODLE, и что все веб-браузеры в мире внезапно изменили поведение, когда они подключаются к TCP-порту 443 (нет, и они не; запустите wireshark и посмотрите), затем TLS используется для сеансов, которые зашифрованы с самого начала. TLS, безусловно, поддерживает обновление с открытого текста, но его также можно использовать для шифрования ab initio - несмотря на то, что думают различные клиентские программные пакеты.
Edit 2: mc0e, я согласен, что STARTTLS определенно ограничен изначально открытым текстом. Однако это не то, что обсуждается, и это не терминология, которую используют многие клиенты. Для них, как и для многих, STARTTLS а также TLS это одно и то же; я хочу сказать, что это не так; последний является чистой надмножеством первого.
Люди, которые думают, что переключение зашифрованных не-веб-сервисов с SSLv3 будет легким ",потому что клиент поддерживает TLS", могут столкнуться с проблемами, потому что клиент действительно означает, что он поддерживает "STARTTLS для повышения шифрования ", а не"TLS как криптографический набор как для зашифрованных подключенийab initio, так и для обновления с открытого текста ".
Outlook Express поддерживает TLS наряду с SSL. Таким образом, удаление SSlv3 повлияет на тех людей, у которых он настроен на использование SSL. Переключение на использование TLS должно сделать свое дело.
SSLv3 настолько стар, что и TLS, что большинство почтовых клиентов поддерживают TLS, поэтому я бы не стал беспокоиться об этом. POODLE также влияет на XPsp2 и ниже, так что если вы можете просто сказать людям, чтобы они обновились до sp3, то есть снова заработали.