Я хочу смягчить POODLE vuln. на моем сервере courier-imap. Я знаю, как это сделать. Меня действительно беспокоит, как это повлияет на MUA, особенно на старые. Все еще есть пользователи, использующие Outlook Express 6 в Windows XP. Есть ли какой-нибудь анализ, по которому MUA перестанет работать с отключенным SSLv3 со стороны сервера? А может это совершенно безопасное действие?
Попробовав это на прошлой неделе, я понял, что это ломает много клиентов. Это правда, что современный Outlook поддерживает TLS, но он думает, что это означает начать с открытого текста, затем перейти к шифрованию. Идея о том, что TLS можно использовать как ab initio cyphersuite, кажется, избежал этого; всякий раз, когда я выбирал TLS, он настаивал на том, что хочет использовать порт IMAP 143, а не порт IMAP / S 993. Хотя я признаюсь, что не являюсь администратором Windows, мне не удалось убедить его в обратном, и поскольку у меня нет никакого желания открывать порт 143, что несколько сбило меня с толку.
Также сломалась почта K-9 (v5.001) на телефонах Android. ALPINE (2.11) под Linux, конечно, нормально. Я не могу говорить от имени Thunderbird на любой платформе, потому что к тому времени, когда мои пользователи (включая мою жену) закончили пригибать уши, меня уговорили переключиться обратно.
Большая часть проведенного мной анализа предполагает, что известных эксплойтов SSLv3 на основе IMAP / POP не существует. в это время. Мой новый план - установить второй dovecot на порту 994, делая только TLS и мягко побуждаем моих пользователей находить клиентов, которые на них работают. Если я увижу какие-либо отчеты о почтовых эксплойтах в дикой природе, это "нежно"может стать немного более решительным.
редактировать для ответа на комментарий mc0e ниже:
Ваше заблуждение - распространенное заблуждение, и я действительно страдал от него много лет. Однако мнение о том, что TLS можно использовать только для шифрования с помощью эскалации из открытого текста, настолько же ошибочно, насколько и распространено.
Подумайте: смягчение последствий POODLE основано на отключении SSLv3 для серверов HTTPS; защищенные серверы могут говорить только по TLS. Если вы не думаете, что HTTPS только что получил фазу открытого текста, которой не было до POODLE, и что все веб-браузеры в мире внезапно изменили поведение при подключении к TCP-порту 443 (это не так, и они не ; запускаем wirehark и видим), тогда TLS используется для сеансов, которые с самого начала зашифрованы. TLS, безусловно, поддерживает повышение рейтинга от открытого текста, но его также можно использовать для ab initio шифрование - вопреки мнению различных клиентских программных пакетов.
Редактировать 2: mc0e, согласен STARTTLS определенно ограничивается сервисами с исходным открытым текстом. Однако это не то, что обсуждается, и это не та терминология, которую используют многие клиенты. Для них, как и для многих, STARTTLS и TLS одно и то же; я хочу сказать, что это не так; последний является чистым надмножеством первого.
Люди, которые думают, что переключить зашифрованные не веб-службы с SSLv3 будет легко "потому что клиент поддерживает TLS"могут возникнуть проблемы из-за того, что клиент действительно означает, что он поддерживает "STARTTLS для повышения рейтинга шифрования ", а не" TLS как криптосистема для обе ab initio зашифрованные соединения и повышение рейтинга от открытого текста ".
Outlook Express поддерживает TLS вместе с SSL. Таким образом, удаление SSlv3 повлияет на тех людей, у которых он настроен на использование SSL. Переход на использование TLS должен помочь.
SSLv3 настолько стар, что и TLS, что большинство почтовых клиентов поддерживают TLS, так что я бы особо не беспокоился об этом. POODLE также влияет на XPsp2 и ниже, поэтому, если вы можете просто сказать людям, чтобы они обновились до sp3, и то есть снова будет работать.