Openssl
為 UCSPI SSL 獲取正確的密碼
我目前正在嘗試保護我的 qmail 安裝和 SMTP 連接。
編譯標準 UCSPI SSL 時,預設啟用所有支持的密碼。這會導致 POODLE、heartblead 和其他 SSL 問題。
我使用以下值設置了一個名為 CIPHERS 的環境變數。
CIPHERS=ALL:!LOW:!SSLv2:!EXP:!aNULL:!eNULL!3DES:!MD5:!EXP:!CBC:!PSK:!SRP:!DSS:!RC4
除了負責 POODLE 的 SSLv3 之外,這會禁用大多數“不太好”的東西。
我設置的第二個
CIPHERS=ALL:!LOW:!SSLv2: !SSLv3: !EXP:!aNULL:!eNULL!3DES:!MD5:!EXP:!CBC:!PSK:!SRP:!DSS:!RC4
伺服器停止工作。
對於我可能應該在頂部禁用的密碼,也歡迎任何建議。
TLSv1 需要 SSLv3 密碼。更容易的是禁用 SSL3 協議,而不是密碼。考慮到 SSL 的問題與其他郵件程序的問題,我仍然喜歡 qmail,而不是其他不遵循 UNIX 哲學的單片郵件程序,將任務分成單獨的隔間來執行具有明確輸入和輸出的小任務。
我敢肯定,很快就會有更好的 TLS 更新檔。當它到達郵件列表時,它會受到歡迎。