Получение правильных шифров для UCSPI SSL

Question

Получение правильных шифров для UCSPI SSL

В настоящее время я пытаюсь защитить мою установку qmail и SMTP-соединения.

При компиляции стандартного SSL UCSPI все поддерживаемые шифры включены по умолчанию. Это приводит к проблемам с POODLE, heartblead и другим проблемам SSL.

Я установил переменную окружения под названием CIPHERS со следующими значениями.

CIPHERS=ALL:!LOW:!SSLv2:!EXP:!aNULL:!eNULL!3DES:!MD5:!EXP:!CBC:!PSK:!SRP:!DSS:!RC4

Это отключает большинство "не очень хороших" вещей, кроме SSLv3, который отвечает за POODLE.

Второй я поставил

CIPHERS = ALL:! LOW:! SSLv2:! SSLv3:! EXP:! ANULL:! ENULL!3DES:!MD5:!EXP:!CBC:!PSK:!SRP:!DSS:!RC4

сервер перестает работать.

Любой совет приветствуется также для шифров, которые я могу отключить сверху.

0

email openssl poodle

Источник

David 03 ноя '14 в 21:36

1 ответ

Решение

Другие вопросы по тегам email openssl poodle

Ed Neville 09 дек '14 в 18:09 2014-12-09 18:09 · Accepted Answer · 2014-12-09 18:09

Вам нужны шифры SSLv3 для TLSv1. Что проще, так это отключение протокола SSL3, а не шифра. Учитывая проблемы с SSL по сравнению с проблемами с другими почтовыми программами, я все же предпочел бы qmail перед другими монолитными почтовыми программами, которые не следуют философии UNIX - разбивать задачу на отдельные части, выполняя небольшие задачи с четко определенными входами и выходами.

Я уверен, что скоро будет лучшее исправление для TLS. Когда он попадет в списки рассылки, это будет приветствоваться.