TLS_cipherlist vs. TLS_ciphers

Alex JOST jost+lists at dimejo.at
Mo Aug 17 10:26:12 CEST 2015


Am 17.08.2015 um 09:07 schrieb Jens Adam:
> Mon, 17 Aug 2015 05:42:42 +0200
> "Daniel" <daniel at ist-immer-online.de>:
>
>> ich habe auf  <https://www.rootforum.org/forum/viewtopic.php?t=54550>
>> folgendes gefunden für Postfix:
>
> Ja, Internet ist toll, da findet man so einiges; die Problematik der
> OpenSSL-Einrichtung ist aber generell und nicht auf Postfix bezogen.
> Wenn man sich schon etwas länger mit diesem ganzen
> Snowden/Security/SSL-Krams beschäftigt, landet man weniger bei
> Forenpostings, sondern bei einem knappen Dutzend an Seiten, die
> meistens auch ordentlich gepflegt werden, z.B.:
>
> - https://hynek.me/articles/hardening-your-web-servers-ssl-ciphers/
>    viele Erklärungen/Links und ein Changelog
> - https://wiki.mozilla.org/Security/Server_Side_TLS
>    seehr ausführlich, natürlich mit einem starken Fokus auf Webserver
> - https://weakdh.org/sysadmin.html
>    Fokus auf 'LogJam' und Copy+Paste, bis auf die Cipherlist (wer
>    benutzt schon DSS- oder ECDSA-Zertifikate) schön knapp gehalten
> - https://cipherli.st/
>    noch knapper, wenn Kompromisse bzgl. Kompatibilität egal sind
> - https://starttls.info/
>    Online-Check für Mailserver, nicht sehr ausführlich aber ganz nett
>
> Wenn man jetzt genug Grundwissen zusammen hat, um beurteilen zu können,
> wie sich diese How-Tos in ihren Schwerpunkten unterscheiden und man sich
> sein Setup zurechtgelegt/kopiert hat, bleibt aber trotzdem noch die
> Frage, inwiefern das für einen Standardmailserver überhaupt relevant ist.
> Bei meinen Webserver, dem Jabberserver und auch Dovecot kann ich davon
> ausgehen, dass alle potentiellen Clients (Start)TLS verstehen, und das
> auch problemlos forcieren (Zwangsumleitung, HSTS, etc), aber solange man
> einen MX im Internet betreibt sollte man sich im Klaren sein, dass
> *bessere* Crypto im Zweifelsfall eher *keine* Crypto bedeutet, wenn die
> Gegenseite die Cipher-Auswahl nicht akzeptiert und einfach
> unverschlüsselt anliefert.
>
> Gruß,
> Jens
>

Warum folgt ihr nicht einfach der Empfehlung von Viktor Dukhovni auf der 
Postfix Mailingliste?

http://marc.info/?l=postfix-users&m=143884497605106&w=2

-- 
Alex JOST



Mehr Informationen über die Mailingliste Postfixbuch-users