Назад | Перейти на главную страницу

Получение правильных шифров для UCSPI SSL

В настоящее время я пытаюсь защитить свою установку qmail и SMTP-соединения.

При компиляции стандартного UCSPI SSL все поддерживаемые шифры включены по умолчанию. Это приводит к проблемам с POODLE, heartblead и другим проблемам SSL.

Я установил для переменной окружения CIPHERS следующие значения.

CIPHERS=ALL:!LOW:!SSLv2:!EXP:!aNULL:!eNULL!3DES:!MD5:!EXP:!CBC:!PSK:!SRP:!DSS:!RC4

Это отключает большую часть «не очень приятных» вещей, кроме SSLv3, который отвечает за POODLE.

Второй я поставил

ШИФРЫ = ВСЕ:! LOW:! SSLv2:! SSLv3:! EXP:! ANULL:! ENULL! 3DES:! MD5:! EXP:! CBC:! PSK:! SRP:! DSS:! RC4

сервер перестает работать.

Любые советы приветствуются также для Ciphers, которые я могу отключить сверху.

Вам нужны шифры SSLv3 для TLSv1. Что проще, так это отключить протокол SSL3, а не шифр. Учитывая проблемы с SSL по сравнению с проблемами с другими почтовыми программами, я бы предпочел qmail другим монолитным почтовым программам, которые не следуют философии UNIX по разделению задачи на отдельные части, выполняя небольшие задачи с четко определенными входами и выходами.

Я уверен, что скоро будет лучший патч для TLS. Когда он попадет в списки рассылки, он будет приветствоваться.