client-initiated renegotiation

[Andreas Schulze]

Am 14.03.19 um 12:50 schrieb Günther J. Niederwimmer:
> Hallo,
> 
> Am Donnerstag, 14. März 2019, 08:51:05 CET schrieb Winfried Neessen:
>> Hi,
>>
>> On 14. Mar 2019, at 08:19, Andreas Schulze <andreas.schulze at datev.de> wrote:
>>> Wie man das ausschaltet muss ich auch gerade passen. Ich vermute aber
>>> ebenfalls, via tls_ssl_options.
>> Mir ist keine SSL_option bekannt, die nur Client initiierte TLS
>> renegotiation ausschaltet. M. W. n. gibt es nur "SSL_OP_NO_RENEGOTIATION"
>> um TLS renegotiation komplett zu deaktivieren. Generell bringt das eh nur
>> einen Geschwindigkeitsvorteil, wenn man Verbindungen hat, die weite
>> Strecken (sprich hoher Roundtrip) hinter sich gelegt haben.
>>
>> Mit aktueller Hardware halte ich den DoS Vektor aber auch fuer ueberschaubar
>> (acceptable risk).
> 
> Ich hatte von dem "Problem" bis jetzt nirgends gelesen, bis ich auf dieser 
> Testseite darauf hingewiesen wurde ?
weder hardenize.com noch ssllabs bemängeln client initiated renegioation,
für ssllabs muss man einen smtp-server auf port 443 legen und mit
  -o smtpd_tls_security_level=encrypt" sowie
  -o smtpd_tls_wrappermode=on
starten

> Also Ihr meint man kann es vernachlässigen ?
insofern: Ball flachhalten oder auf der engl. postfix-users ML nachfragen...

> Was ich noch nicht gefunden habe ist der Sinn / Unsinn diese Parameters 
> worüber ich beim suchen gestolpert bin?
> 
> smtpd_client_new_tls_session_rate_limit = 0
Das ist meines Erachtens nur ein Limit für neue TLS-Verbindungen incl komplettem TCP Handshake

> das ist die Grundeinstellung in postfix, hat der überhaupt was mit dem obigen 
> Fall zu tun?
> 
> Oder sollte man da einen Wert setzen zb. = 100
kann man machen, wenn man weis was man tut.


-- 
A. Schulze
DATEV eG