在 Courier-IMAP 伺服器中關閉 SSLv3 如何影響舊的郵件使用者代理?
我想減輕 POODLE 漏洞。在我的 courier-imap 伺服器中。我知道該怎麼做。我真的很擔心它會如何影響 MUA,尤其是舊的。仍有使用者在 Windows XP 中使用 Outlook Express 6。是否有任何關於哪個 MUA 將停止使用從伺服器端關閉的 SSLv3 的分析?或者也許這是完全安全的行動?
上週嘗試過這個,我的經驗是它打破了很多客戶。現代 Outlook 確實支持 TLS,但它認為這意味著以明文開始,然後升級為加密。TLS 可以用作從頭算密碼套件的想法似乎已經逃脫了它。每當我選擇 TLS 時,它堅持要使用 IMAP 埠 143,而不是 IMAP/S 埠 993。雖然我承認自己不是 Windows 管理員,但我無法說服它,因為我不想暴露埠143,這讓我很困擾。
Android 手機上的 K-9 郵件 (v5.001) 也壞了。當然,Linux 下的 ALPINE (2.11) 很好。我不能在任何平台上代表 Thunderbird,因為當我的使用者(包括我的妻子)完成我的耳朵彎曲時,我被說服切換回來。
我看到的大多數分析表明,目前沒有已知的基於 IMAP/POP 的 SSLv3 漏洞利用*。*
dovecot我的新計劃是在埠 994 上設置第二個,只做TLS,並溫和地引導我的使用者尋找適合他們的客戶端。如果我在野外看到任何有關基於郵件的漏洞利用的報告,那麼“溫和”可能會變得更加有力。編輯以解決以下 mc0e 的評論:
你的誤解是一個常見的誤解,而且我多年來一直深受其害。但是,認為 TLS 只能用於通過明文升級進行加密的想法是錯誤的,因為它很常見。
考慮:POODLE 緩解依賴於禁用 HTTPS 伺服器的 SSLv3;緩解的伺服器只能說 TLS。除非你認為 HTTPS 剛剛獲得了在 POODLE 之前不存在的純文字優先階段,並且世界上所有的 Web 瀏覽器在連接到 TCP 埠 443 時都突然改變了行為(它沒有,而且他們沒有; 啟動wireshark並查看),然後TLS被用於從一開始就加密的會話。TLS 當然支持從明文升級,但它也可以用於從頭加密——不管各種客戶端軟體包是怎麼想的。
編輯2:mc0e,我同意這
STARTTLS絕對僅限於最初的明文服務。但是,這不是正在討論的內容,也不是許多客戶使用的術語。對他們來說,對許多人來說,STARTTLS都是TLS一回事;我的意思是他們不是;後者是前者的純超集。那些認為從 SSLv3 切換加密的非 Web 服務會很容易“因為客戶端支持 TLS ”的人可能會遇到問題,因為客戶端的真正意思是它支持“
STARTTLS用於加密升級”,而不是“TLS 作為用於從頭開始加密連接和從明文升級的加密套件” 。