Я не могу отключить SSLv2 \ v3 в courier-imap.
В конфигурации imapd-ssl у меня есть следующее:
TLS_CIPHER_LIST="ALL:!SSLv2:!SSLv3:!ADH:!NULL:!EXPORT:!DES:!LOW:@STRENGTH"
Согласно openssl - SSL отключен этой записью
[root@a10-52-79-181 ~]# openssl ciphers -v 'ALL:!SSLv2:!SSLv3:!ADH:!NULL:!EXPORT:!DES:!LOW:@STRENGTH'
ECDHE-RSA-AES256-GCM-SHA384 TLSv1.2 Kx=ECDH Au=RSA Enc=AESGCM(256) Mac=AEAD
... and rest of output is only related to TLS, nothing for SSL
Пока - выглядит хорошо. Но...
openssl s_client -connect localhost:993 -ssl3 | grep "Protocol"
Protocol : SSLv3
То же самое для "-ssl2". Курьер перезапускался несколько раз - безрезультатно. Если мы запускаем openssl без указания шифра - TLS используется правильно. Но как окончательно отключить SSL?
Примечание. Я не хочу изменять TLS_CIPHER_LIST. Я хочу понять, почему это кажется правильным, но не работает должным образом?
Как уже отмечал @ Steffen-ulrich в комментариях, вы отключили только SSLv3-шифры в шифр список. Шифры SSLv3 и протокол SSLv3 связаны, но не одинаковы, поскольку отключение шифров не отключает протокол. И отключение протокола не отключает шифры.
Чтобы отключить SSL в dovecot, используйте это:
ssl_protocols = !SSLv3 !SSLv2
Кроме того, я не знаю параметра, называемого tls_cipher_list, но есть ssl_cipher_list. Я также рекомендую вам установить ssl_prefer_server_ciphers = yes и укажите предпочтения для шифров в списке шифров, как рекомендовано Bettercrypto.org в Прикладное усиление криптографии:
# SSL protocols to use
ssl_protocols = !SSLv3 !SSLv2
# SSL ciphers to use
ssl_cipher_list = EDH+CAMELLIA:EDH+aRSA:EECDH+aRSA+AESGCM:EECDH+aRSA+SHA384:EECDH+aRSA+SHA256:EECDH:+CAMELLIA256:+AES256:+CAMELLIA128:+AES128:+SSLv3:!aNULL:!eNULL:!LOW:!3DES:!MD5:!EXP:!PSK:!DSS:!RC4:!SEED:!ECDSA:CAMELLIA256-SHA:AES256-SHA:CAMELLIA128-SHA:AES128-SHA
# Prefer the server's order of ciphers over client's.
ssl_prefer_server_ciphers = yes