Openssl

為 UCSPI SSL 獲取正確的密碼

  • December 9, 2014

我目前正在嘗試保護我的 qmail 安裝和 SMTP 連接。

編譯標準 UCSPI SSL 時,預設啟用所有支持的密碼。這會導致 POODLE、heartblead 和其他 SSL 問題。

我使用以下值設置了一個名為 CIPHERS 的環境變數。

CIPHERS=ALL:!LOW:!SSLv2:!EXP:!aNULL:!eNULL!3DES:!MD5:!EXP:!CBC:!PSK:!SRP:!DSS:!RC4

除了負責 POODLE 的 SSLv3 之外,這會禁用大多數“不太好”的東西。

我設置的第二個

CIPHERS=ALL:!LOW:!SSLv2: !SSLv3: !EXP:!aNULL:!eNULL!3DES:!MD5:!EXP:!CBC:!PSK:!SRP:!DSS:!RC4

伺服器停止工作。

對於我可能應該在頂部禁用的密碼,也歡迎任何建議。

TLSv1 需要 SSLv3 密碼。更容易的是禁用 SSL3 協議,而不是密碼。考慮到 SSL 的問題與其他郵件程序的問題,我仍然喜歡 qmail,而不是其他不遵循 UNIX 哲學的單片郵件程序,將任務分成單獨的隔間來執行具有明確輸入和輸出的小任務。

我敢肯定,很快就會有更好的 TLS 更新檔。當它到達郵件列表時,它會受到歡迎。

引用自:https://serverfault.com/questions/641750