TLS_cipherlist vs. TLS_ciphers

Jens Adam j_adam at web.de
Mo Aug 17 09:07:10 CEST 2015


Mon, 17 Aug 2015 05:42:42 +0200
"Daniel" <daniel at ist-immer-online.de>:

> ich habe auf  <https://www.rootforum.org/forum/viewtopic.php?t=54550>
> folgendes gefunden für Postfix:

Ja, Internet ist toll, da findet man so einiges; die Problematik der
OpenSSL-Einrichtung ist aber generell und nicht auf Postfix bezogen.
Wenn man sich schon etwas länger mit diesem ganzen
Snowden/Security/SSL-Krams beschäftigt, landet man weniger bei
Forenpostings, sondern bei einem knappen Dutzend an Seiten, die
meistens auch ordentlich gepflegt werden, z.B.:

- https://hynek.me/articles/hardening-your-web-servers-ssl-ciphers/
  viele Erklärungen/Links und ein Changelog
- https://wiki.mozilla.org/Security/Server_Side_TLS
  seehr ausführlich, natürlich mit einem starken Fokus auf Webserver
- https://weakdh.org/sysadmin.html
  Fokus auf 'LogJam' und Copy+Paste, bis auf die Cipherlist (wer
  benutzt schon DSS- oder ECDSA-Zertifikate) schön knapp gehalten
- https://cipherli.st/
  noch knapper, wenn Kompromisse bzgl. Kompatibilität egal sind
- https://starttls.info/
  Online-Check für Mailserver, nicht sehr ausführlich aber ganz nett

Wenn man jetzt genug Grundwissen zusammen hat, um beurteilen zu können,
wie sich diese How-Tos in ihren Schwerpunkten unterscheiden und man sich
sein Setup zurechtgelegt/kopiert hat, bleibt aber trotzdem noch die
Frage, inwiefern das für einen Standardmailserver überhaupt relevant ist.
Bei meinen Webserver, dem Jabberserver und auch Dovecot kann ich davon
ausgehen, dass alle potentiellen Clients (Start)TLS verstehen, und das
auch problemlos forcieren (Zwangsumleitung, HSTS, etc), aber solange man
einen MX im Internet betreibt sollte man sich im Klaren sein, dass
*bessere* Crypto im Zweifelsfall eher *keine* Crypto bedeutet, wenn die
Gegenseite die Cipher-Auswahl nicht akzeptiert und einfach
unverschlüsselt anliefert.

Gruß,
Jens
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : nicht verfügbar
Dateityp    : application/pgp-signature
Dateigröße  : 455 bytes
Beschreibung: Digitale Signatur von OpenPGP
URL         : <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20150817/961f1cd8/attachment.sig>


Mehr Informationen über die Mailingliste Postfixbuch-users