client-initiated renegotiation
Günther J. Niederwimmer
gjn at gjn.priv.at
Do Mär 14 12:50:47 CET 2019
Hallo,
Am Donnerstag, 14. März 2019, 08:51:05 CET schrieb Winfried Neessen:
> Hi,
>
> On 14. Mar 2019, at 08:19, Andreas Schulze <andreas.schulze at datev.de> wrote:
> > Wie man das ausschaltet muss ich auch gerade passen. Ich vermute aber
> > ebenfalls, via tls_ssl_options.
> Mir ist keine SSL_option bekannt, die nur Client initiierte TLS
> renegotiation ausschaltet. M. W. n. gibt es nur "SSL_OP_NO_RENEGOTIATION"
> um TLS renegotiation komplett zu deaktivieren. Generell bringt das eh nur
> einen Geschwindigkeitsvorteil, wenn man Verbindungen hat, die weite
> Strecken (sprich hoher Roundtrip) hinter sich gelegt haben.
>
> Mit aktueller Hardware halte ich den DoS Vektor aber auch fuer ueberschaubar
> (acceptable risk).
Ich hatte von dem "Problem" bis jetzt nirgends gelesen, bis ich auf dieser
Testseite darauf hingewiesen wurde ?
Also Ihr meint man kann es vernachlässigen ?
Was ich noch nicht gefunden habe ist der Sinn / Unsinn diese Parameters
worüber ich beim suchen gestolpert bin?
smtpd_client_new_tls_session_rate_limit = 0
das ist die Grundeinstellung in postfix, hat der überhaupt was mit dem obigen
Fall zu tun?
Oder sollte man da einen Wert setzen zb. = 100
Danke für Eure Mithilfe,
--
mit freundliche Grüßen / best regards,
Günther J. Niederwimmer
Mehr Informationen über die Mailingliste Postfixbuch-users