Desidero configurare il mio nuovo server di posta il più sicuro possibile e mi chiedo del codice utilizzato durante la connessione al server SMTP di Google.
Sono curioso del motivo per cui preferiscono la cifra ECDHE-RSA-AES128-GCM-SHA256
prima di ECDHE-RSA-AES256-GCM-SHA384
? Non è più debole?
Quando provo con openssl s_client -connect gmail-smtp-in.l.google.com:25 -starttls smtp -cipher ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256
la connessione negozia con cipher ECDHE-RSA-AES128-GCM-SHA256
.
Se presento solo cipher ECDHE-RSA-AES256-GCM-SHA384
al server, le utilizza.
La domanda più importante: c'è un modo per forzare postfix ad usare solo il cifrario più strong? Se escludo AES128 tramite tls_policy, diventa ancora peggio!