Невозможно отключить SSL в Courier-Imap
Я не могу отключить SSLv2\v3 в courier-imap.
В конфиге imapd-ssl у меня есть следующее:
TLS_CIPHER_LIST="ALL:!SSLv2:!SSLv3:!ADH:!NULL:!EXPORT:!DES:!LOW:@STRENGTH"
Согласно openssl - SSL отключен этой записью
[root@a10-52-79-181 ~]# openssl ciphers -v 'ALL:!SSLv2:!SSLv3:!ADH:!NULL:!EXPORT:!DES:!LOW:@STRENGTH'
ECDHE-RSA-AES256-GCM-SHA384 TLSv1.2 Kx=ECDH Au=RSA Enc=AESGCM(256) Mac=AEAD
... and rest of output is only related to TLS, nothing for SSL
Пока что - выглядит хорошо. Но...
openssl s_client -connect localhost:993 -ssl3 | grep "Protocol"
Protocol : SSLv3
То же самое для "-ssl2". Курьер был перезапущен несколько раз - без помощи. Если мы запускаем openssl без указания шифра - TLS правильно используется. Но как окончательно отключить SSL?
Примечание - я не хочу менять TLS_CIPHER_LIST - я хочу понять, почему это кажется правильным, но не работает, как задумано?
1 ответ
Как уже отмечал @Steffen-ulrich в комментариях, вы отключили только SSLv3- шифры в списке шифров. Шифры SSLv3 и протокол SSLv3 связаны, но не то же самое, что отключение шифров не отключает протокол. И отключение протокола, не отключает шифры.
Чтобы отключить SSL в dovecot, используйте это:
ssl_protocols = !SSLv3 !SSLv2
Кроме того, я не знаю параметра с именем tls_cipher_list, но есть ssl_cipher_list, Я также призываю вас установить ssl_prefer_server_ciphers = yes и задайте параметры для шифров в списке шифров, как это рекомендовано https://bettercrypto.org/ в разделе " Прикладное шифрование":
# SSL protocols to use
ssl_protocols = !SSLv3 !SSLv2
# SSL ciphers to use
ssl_cipher_list = EDH+CAMELLIA:EDH+aRSA:EECDH+aRSA+AESGCM:EECDH+aRSA+SHA384:EECDH+aRSA+SHA256:EECDH:+CAMELLIA256:+AES256:+CAMELLIA128:+AES128:+SSLv3:!aNULL:!eNULL:!LOW:!3DES:!MD5:!EXP:!PSK:!DSS:!RC4:!SEED:!ECDSA:CAMELLIA256-SHA:AES256-SHA:CAMELLIA128-SHA:AES128-SHA
# Prefer the server's order of ciphers over client's.
ssl_prefer_server_ciphers = yes