POODLEの脆弱性を軽減したいと思います。私のcourier-imapサーバーで。私はそれを行う方法を知っています。私はそれがMUA、特に古いものにどのように影響するかについて本当に心配しています。 WindowsXPでOutlookExpress6を使用しているユーザーはまだいます。サーバー側からオフにされたSSLv3でMUAが動作を停止する分析はありますか?それとも完全に安全な行動ですか?
先週これを試しましたが、私の経験では、クライアントのlotを壊しました。最新のOutlookがTLSをサポートしているのは事実ですが、これはプレーンテキストで開始してから暗号化にエスカレートするを意味すると考えています。 TLSをab initio cyphersuiteとして使用できるという考えはそれを回避したようです。 TLSを選択するたびに、IMAP/Sポート993ではなくIMAPポート143を使用したいと主張しました。Windows管理者ではないことを告白しましたが、それ以外の方法で説得することはできませんでした。ポートを公開する必要はまったくありません。 143、それはむしろ私を悩ませました。
Android電話のK-9メール(v5.001)も壊れました。もちろん、LinuxのAlpine(2.11)は問題ありませんでした。どのプラットフォームでも、Thunderbirdについて話すことはできません。ユーザー(妻を含む)が耳を曲げ終えたとき、私は元に戻すように説得されました。
私が見た分析のほとんどは、既知のIMAP/POPベースのSSLv3エクスプロイトがないことを示唆しています現時点では。私の新しい計画は、ポート994に2番目のdovecot
を設定し、only TLSを実行し、ユーザーが自分に適したクライアントを見つけるように優しく操作することです。メールベースのエクスプロイトの報告が実際に見られる場合、その「gently "」はもう少し強力になる可能性があります。
Edit以下のmc0eのコメントに対処します:
あなたの誤解はよくある誤解であり、確かに私は長年苦しんでいました。ただし、TLSは平文からのエスカレーションによる暗号化にのみ使用できるという考えは、一般的であると同時に間違っています。
考えてみてください。POODLEの軽減は、HTTPSサーバーのSSLv3を無効にすることに依存しています。緩和されたサーバーはTLSのみを話すことができます。 HTTPSがPOODLEの前にはなかったプレーンテキストの最初のフェーズになり、世界中のすべてのWebブラウザーがTCPポート443(itそうではなく、そうではありません。wiresharkを起動して参照してください)、TLSは最初から暗号化されたセッションに使用されています。TLSは確かに平文からのアップグレードをサポートしていますが、abにも使用できます。 initio暗号化-さまざまなクライアントソフトウェアパッケージが考えていることにもかかわらず。
Edit 2:mc0e、私はSTARTTLS
が最初は平文のサービスに確実に制限されていることに同意します。しかし、それは議論されていることではなく、多くのクライアントが使用する用語でもありません。彼らにとって、多くの場合、STARTTLS
とTLS
は同じものです。私のポイントは、そうではないということです。後者は前者の純粋なスーパーセットです。
暗号化された非WebサービスをSSLv3から簡単に切り替えることができると考える人は "クライアントがTLSをサポートしているため"クライアントが意味することは本当にであるため、問題が発生する可能性があります。 「bothab initio暗号化接続の暗号スイートとしてのTLS」ではなく「暗号化アップグレード用のSTARTTLS
」をサポートしていることandプレーンテキストからのアップグレード "。
Outlook Expressは、SSLとともにTLSをサポートしています。したがって、SSlv3を削除すると、SSLを使用するように設定しているユーザーに影響します。 TLSの使用に切り替えるとうまくいくはずです。
SSLv3はTLSと非常に古いため、ほとんどのメールクライアントはTLSをサポートしているので、それほど心配する必要はありません。 POODLEはXPsp2以下にも影響するので、sp3にアップグレードするように人々に指示できれば、つまり再び機能します。