Riconcilia IMAP4 RFC senza RC4 RFC

0

RFC 3501 afferma:

IMAP client and server implementations MUST implement the TLS_RSA_WITH_RC4_128_MD5.

RFC 7465 afferma:

o TLS clients MUST NOT include RC4 cipher suites in the ClientHello message

o TLS servers MUST NOT select an RC4 cipher suite when a TLS client sends such a cipher suite in the ClientHello message.

o If the TLS client only offers RC4 cipher suites, the TLS server MUST terminate the handshake. The TLS server MAY send the insufficient_security fatal alert in this case.

Non vedo comunque di riconciliare queste due RFC. Ho visto che Google ha disattivato RC4 sui suoi server di posta elettronica e richiede TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256, ma non è necessariamente interoperabile con il resto del mondo.

È in arrivo un aggiornamento a RFC 3501 che modifica la suite di crittografia TLS obbligatoria?

    
posta Swashbuckler 07.06.2016 - 06:13
fonte

2 risposte

1

I don't see anyway to reconcile these two RFCs

Ci sono due modi per riconciliarli:

  1. Scegli Sicurezza (RFC 7465) su Compatibilità con versioni precedenti (RFC 3501)
  2. Scegli la retrocompatibilità (RFC 3501) su sicurezza (RFC 7465)

I have seen that Google has turned off RC4 on its email servers and is requiring TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256, but that's not necessarily interoperable with the rest of the world.

Google ha scelto l'opzione n. 1. Probabilmente hanno preso un censimento di tutto il loro traffico IMAP, rivisto il Client Cipher Suites suggerito, visto che nessuno o un numero trascurabilmente piccolo di clienti sarebbero stati colpiti, e quindi spento RC4.

Is there an update to RFC 3501 coming that changes the mandated TLS cipher suite?

In dubbio. Le RFC richiedono buon senso. Ci si può aspettare che restringere le raccomandazioni tecniche come le cifrature mandate in una specifica altrimenti grande verrà sovrascritto da RFC successivi più specifici. Nessuno andrà a rivedere gli RFC IMAP solo per assicurarsi che riflettano le attuali pratiche TLS; ci si aspetta che tutti votino con i piedi con la pratica TLS corrente.

Questo è tutto in linea con lo stato speciale delle RFC: sono regole, che tutti devono seguire, tranne quando non lo sono o non lo fanno. L'unica forza che ha una RFC è la massa critica o le persone che prestano attenzione ad essa.

    
risposta data 07.06.2016 - 14:06
fonte
0

RFC 7525 fornisce consigli su come gestire i protocolli e le crittografie TLS oggi, tra cui:

4.1.  General Guidelines
   ...
   o  Implementations MUST NOT negotiate RC4 cipher suites.

Ed è applicabile anche a IMAP:

5.  Applicability Statement
   ...
   o  Email software and services that wish to protect IMAP, POP3, or
      SMTP traffic with TLS.
    
risposta data 07.06.2016 - 06:54
fonte

Leggi altre domande sui tag