Ssl

無法在 courier-imap 中禁用 SSL

  • March 11, 2015

我無法在 courier-imap 中禁用 SSLv2\v3。

在 imapd-ssl 配置中,我有以下內容:

TLS_CIPHER_LIST="ALL:!SSLv2:!SSLv3:!ADH:!NULL:!EXPORT:!DES:!LOW:@STRENGTH"

根據 openssl - SSL 被此條目禁用

[root@a10-52-79-181 ~]# openssl ciphers -v 'ALL:!SSLv2:!SSLv3:!ADH:!NULL:!EXPORT:!DES:!LOW:@STRENGTH'
ECDHE-RSA-AES256-GCM-SHA384 TLSv1.2 Kx=ECDH     Au=RSA  Enc=AESGCM(256) Mac=AEAD
... and rest of output is only related to TLS, nothing for SSL

到目前為止 - 看起來不錯。但…

openssl s_client -connect localhost:993 -ssl3 | grep "Protocol"
Protocol  : SSLv3

“-ssl2”也一樣。Courier 多次重新啟動 - 沒有幫助。如果我們在沒有指定密碼的情況下執行 openssl - 正確使用了 TLS。但是如何最終禁用 SSL?

注意 - 我不想更改 TLS_CIPHER_LIST - 我想了解,為什麼它看起來正確,但沒有按預期工作?

正如@Steffen-ulrich 在評論中已經指出的那樣,您只禁用了密碼列表中SSLv3-*密碼。*SSLv3 密碼和 SSLv3 協議是相關的,但並不相同,因為禁用密碼並不會禁用協議。並且禁用協議,不會禁用密碼。

要在 dovecot 中禁用 SSL,請使用以下命令:

ssl_protocols = !SSLv3 !SSLv2

另外,我不知道一個名為 的參數tls_cipher_list,但是有ssl_cipher_list. 我還鼓勵您按照Bettercrypto.orgApplied Crypto Hardeningssl_prefer_server_ciphers = yes中的建議,在密碼列表中設置密碼並提供首選項:

# SSL protocols to use
ssl_protocols = !SSLv3 !SSLv2
# SSL ciphers to use
ssl_cipher_list = EDH+CAMELLIA:EDH+aRSA:EECDH+aRSA+AESGCM:EECDH+aRSA+SHA384:EECDH+aRSA+SHA256:EECDH:+CAMELLIA256:+AES256:+CAMELLIA128:+AES128:+SSLv3:!aNULL:!eNULL:!LOW:!3DES:!MD5:!EXP:!PSK:!DSS:!RC4:!SEED:!ECDSA:CAMELLIA256-SHA:AES256-SHA:CAMELLIA128-SHA:AES128-SHA
# Prefer the server's order of ciphers over client's.
ssl_prefer_server_ciphers = yes

引用自:https://serverfault.com/questions/674244