У меня запущен сервер Dovecot, который заставляет TLS1.2
ssl_protocols = !SSLv2 !SSLv3 !TLSv1 !TLSv1.1 TLSv1.2
Раньше это работало нормально, пока кто-то не попытался подключиться к iPhone, который жалуется, что сервер не отвечает, и я вижу соответствующие сообщения журнала на сервере:
imap-login: Error: SSL: Stacked error: error:140760FC:SSL routines:SSL23_GET_CLIENT_HELLO:unknown protocol
Я понял, что он отлично работает, если я разрешаю TLSv1
. Это по-настоящему? Я нашел других людей, которые жаловались на это (http://www.clift.org/fred/frustration-with-apple-mail-app-on-ios-and-yosemite.html) но я не могу поверить в это. Пожалуйста, скажите мне, что я упускаю что-то очевидное. Является TLSv1.2
например, поддерживается только специальными шифрами?
Вот моя конфигурация ssl для завершения:
$ egrep -v "^#|^$" /etc/dovecot/conf.d/10-ssl.conf
ssl = yes
ssl_cert = </etc/ssl/my_certs/mail.xyz.tld.crt
ssl_key = </etc/ssl/my_certs/mail.xyz.tld.key
ssl_dh_parameters_length = 2048
ssl_protocols = !SSLv2 !SSLv3 !TLSv1 !TLSv1.1 TLSv1.2
ssl_cipher_list = ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!3DES:!MD5:!PSK
ssl_prefer_server_ciphers = yes
Пожалуйста, разбудите меня и скажите, что это просто дурной сон ...
Спасибо за вашу помощь!
Хотел бы я ущипнуть тебя, чтобы разбудить, но, к сожалению, это не сон. Приложение iOS Mail не может использовать более поздний TLS, чем TLSv1. Даже 1.1 (что нормально для PCI). Apple действительно упустила этот вариант. Приложение Mail поддерживает протоколы TLS1.1 и 1.2 для SMTP, но не POP3 или IMAP. Похоже, люди жаловались на это в Apple как минимум год, но пока безрезультатно.