Ssl

c2s/s2s 中的 ejabberd starttls_required 並禁用 SSLv3 + 不安全密碼

  • June 6, 2015

我在 Ubuntu 上使用 ejabberd。我的配置如下所示:

 {5269, ejabberd_s2s_in, [
                      {shaper, s2s_shaper},
                      {max_stanza_size, 131072},
                      starttls_required
                     ]},
 {5222, ejabberd_c2s, [
                   {access, c2s},
                   {shaper, c2s_shaper},
                   {max_stanza_size, 65536},
                   starttls_required,
                   starttls, {certfile, "./xmpp.pem"}
                  ]},
 {s2s_use_starttls, true}.
 {s2s_certfile, "./xmpp.pem"}.

仍然 xmpp.net 顯示 s2s TLS 不是“必需的”,而只是“允許的”。此外,為 c2s 和 s2s 以及一些不安全的密碼(如 RC4)啟用了 SSLv3。

如何禁用 SSLv3 和 RC4,並在所有連接上強制 starttls?

謝謝!

需要 StartTLS:

{s2s_use_starttls, require}.而不是{s2s_use_starttls, true}.(請記住,這目前會使您無法連接到 gmail.com 及其託管的所有域)。

弱密碼:

請參閱http://www.process-one.net/docs/ejabberd/guide_en.html#sec27。我認為這意味著做一些事情,比如添加{ciphers, "..."}選項ejabberd_c2s。檢查openssl ciphers -V '...'以查看密碼字元串將啟用哪些密碼。

據我所知,如果不自己重新編譯 ejabberd,就不可能禁用 SSLv3。在這裡查看一些討論。

引用自:https://serverfault.com/questions/578308