La disattivazione di SSLv3 interrompe le connessioni TLS 1.1

Naviga le tue risposte
0

Avere un po 'di problemi con un filtro SPAM che riceve email in arrivo. Recentemente mi è stato comunicato da un cliente che le e-mail erano rimbalzate quando si cercava di contattarmi dopo aver disattivato RC4, SSLv2 e amp; SSLv3.

Il rimbalzo che hanno avuto è il seguente.

Message delivery to '[email protected]' delayed SMTP module(domain somedomain.com) reports: connection with mail.somedomain.com is broken

Nelle comunicazioni precedenti posso vedere quanto segue nell'intestazione del messaggio.

version=TLS1_1 cipher=ECDHE-RSA-AES128-SHA bits=128/128

Parlando con la nostra rete di supporto, sono stato informato che disabilitando SSLv3 disabilita anche TLS 1.0 e TLS 1.1 perché condividevano gli stessi codici. Sembra che il nostro client non stia utilizzando TLS 1.2 e nelle comunicazioni precedenti posso vedere che si connettono utilizzando TLS 1.1 che spiega il motivo per cui la posta non riesce a passare.

Posso capire che TLS 1.0 non viene utilizzato, ma pensavo che TLS 1.1 fosse ancora sicuro e non sapevo che SSLv3 avrebbe avuto un impatto diretto su di esso?

Qualsiasi aiuto sarebbe apprezzato.

    
posta Joey Bob 15.09.2017 - 11:09
fonte

1 risposta

2

I've been informed that by disabling SSLv3 it also disables TLS 1.0, and TLS 1.1 because they shared the same ciphers.

Questo è sbagliato.
 C'è una differenza tra disabilitare una versione del protocollo TLS e disabilitare i cifrari. Ma, un errore comune è in realtà che qualcuno tenta di disabilitare l'uso di SSLv3 disabilitando tutti i codici cifrati che sono stati definiti per SSLv3 e fino invece di disabilitare semplicemente la versione del protocollo TLS. Inoltre, c'è in realtà del software là fuori che non consente di disabilitare le versioni del protocollo SSL ma limita solo le crittografie.

Ad esempio con il server di posta Postfix ci sono varie opzioni per consentire o limitare le crittografie ( smtpd_tls_mandatory_ciphers , smtpd_tls_mandatory_exclude_ciphers ) ma anche le opzioni per consentire o limitare le versioni del protocollo TLS ( smtpd_tls_mandatory_protocols ). Solo l'ultimo dovrebbe essere usato per limitare la versione del protocollo.

    
risposta data 15.09.2017 - 11:46
fonte

Leggi altre domande sui tag

Domande su Amex cc [chiuso] come proteggersi dall'hash cracking di LM