Ssl
c2s/s2s 中的 ejabberd starttls_required 並禁用 SSLv3 + 不安全密碼
我在 Ubuntu 上使用 ejabberd。我的配置如下所示:
{5269, ejabberd_s2s_in, [ {shaper, s2s_shaper}, {max_stanza_size, 131072}, starttls_required ]}, {5222, ejabberd_c2s, [ {access, c2s}, {shaper, c2s_shaper}, {max_stanza_size, 65536}, starttls_required, starttls, {certfile, "./xmpp.pem"} ]}, {s2s_use_starttls, true}. {s2s_certfile, "./xmpp.pem"}.
仍然 xmpp.net 顯示 s2s TLS 不是“必需的”,而只是“允許的”。此外,為 c2s 和 s2s 以及一些不安全的密碼(如 RC4)啟用了 SSLv3。
如何禁用 SSLv3 和 RC4,並在所有連接上強制 starttls?
謝謝!
需要 StartTLS:
{s2s_use_starttls, require}.
而不是{s2s_use_starttls, true}.
(請記住,這目前會使您無法連接到 gmail.com 及其託管的所有域)。弱密碼:
請參閱http://www.process-one.net/docs/ejabberd/guide_en.html#sec27。我認為這意味著做一些事情,比如添加
{ciphers, "..."}
選項ejabberd_c2s
。檢查openssl ciphers -V '...'
以查看密碼字元串將啟用哪些密碼。據我所知,如果不自己重新編譯 ejabberd,就不可能禁用 SSLv3。在這裡查看一些討論。