Noch altes TLS 1.0 und 1.1 einsetzen?

[Stephan Seitz]

On Mo, Feb 17, 2020 at 11:33:16 +0100, Daniel wrote:
>setzt ihr noch altes TLS ein, um möglichst kompatibel zu sein für ältere 
>Systeme oder Benutzer mit alten Geräten bzw. Clieten z.B.
>iPhone4, und nach dem Motto "lieber schlechte Verschlüsselung als keine"?

Du bist auf einer Mailingliste zum Thema Postfix. Damit fragst du 
vermutlich im Zusammenhang zu SMTP und nicht HTTP.

Bei SMTP kannst du jetzt noch unterscheiden, ob es sich um die 
Transportverschlüsselung zw. Servern oder den Submission-Port für die 
direkte Mailabgabe von Clients mit Authentifizierung handelt.

Im ersten Fall solltest du alles ab TLSv1 (einschließlich) erlauben. Da 
ist es tatsächlich besser, wenn noch TLSv1 verwendet wird als wenn der 
Server dann gar keine Verschlüsselung verwendet.

Im zweiten Fall brauchst du tatsächlich nur TLSv1.2 und höher, denn das 
sollte jeder halbwegs moderne Client hinbekommen.

>Oder eher nur 1.2 und 1.3 und auf den Rest legt man einfach keinen Wert, 
>wenn diese auch keinen Wert auf aktuelles System legen?

Im Zweifel hast du dann gar keine Verschlüsselung zwischen den Servern.

Bei HTTP, POP3 oder IMAP würde ich allerdings auch nur TLSv1.2 und höher 
einsetzen.

Shade and sweet water!

	Stephan

-- 
|    If your life was a horse, you'd have to shoot it.    |