Durante l'impostazione del servizio DovAPot IMAP, ho notato che i parametri predefiniti non sono ottimali, ad esempio consente SSLv3. Utilizzando il programma TestSSLServer.java di Thomas Pournin , ho visto quanto segue:
...
Minimal encryption strength: strong encryption (96-bit or more)
Achievable encryption strength: strong encryption (96-bit or more)
BEAST status: vulnerable
CRIME status: vulnerable
Per confronto, GMail sembra non essere vulnerabile ad entrambi gli attacchi:
$ java TestSSLServer imap.gmail.com 993
Supported versions: SSLv3 TLSv1.0 TLSv1.1 TLSv1.2
Deflate compression: no
Supported cipher suites (ORDER IS NOT SIGNIFICANT):
SSLv3
RSA_WITH_RC4_128_MD5
RSA_WITH_RC4_128_SHA
RSA_WITH_3DES_EDE_CBC_SHA
RSA_WITH_AES_128_CBC_SHA
RSA_WITH_AES_256_CBC_SHA
TLS_ECDHE_RSA_WITH_RC4_128_SHA
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
(TLSv1.0: idem)
(TLSv1.1: idem)
TLSv1.2
RSA_WITH_RC4_128_MD5
RSA_WITH_RC4_128_SHA
RSA_WITH_3DES_EDE_CBC_SHA
RSA_WITH_AES_128_CBC_SHA
RSA_WITH_AES_256_CBC_SHA
TLS_RSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_RSA_WITH_RC4_128_SHA
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
----------------------
Server certificate(s):
89091347184d41768bfc0da9fad94bfe882dd358: CN=imap.gmail.com, O=Google Inc, L=Mountain View, ST=California, C=US
----------------------
Minimal encryption strength: strong encryption (96-bit or more)
Achievable encryption strength: strong encryption (96-bit or more)
BEAST status: protected
CRIME status: protected
La vulnerabilità per CRIME viene verificata controllando se la compressione è abilitata o meno. Qualcuno della mailing list di Dovecot ha affermato che BEAST non si applica alla posta, è vero ? Dovrei essere preoccupato per BEAST e / o CRIME nel contesto di un servizio IMAP?
Consentendo solo TLSv1.1 e versioni successive, lo stato BEAST diventa "protetto". Non ero in grado di disabilitare la compressione però. Quali sono i parametri raccomandati per un servizio IMAP in cui i client sono sufficientemente moderni?