Courier-imapでSSLv2\v3を無効にできません。
Imapd-ssl configには、次のものがあります。
TLS_CIPHER_LIST="ALL:!SSLv2:!SSLv3:!ADH:!NULL:!EXPORT:!DES:!LOW:@STRENGTH"
Opensslによると-SSLはこのエントリによって無効にされています
[root@a10-52-79-181 ~]# openssl ciphers -v 'ALL:!SSLv2:!SSLv3:!ADH:!NULL:!EXPORT:!DES:!LOW:@STRENGTH'
ECDHE-RSA-AES256-GCM-SHA384 TLSv1.2 Kx=ECDH Au=RSA Enc=AESGCM(256) Mac=AEAD
... and rest of output is only related to TLS, nothing for SSL
これまでのところ-よさそうだ。だが...
openssl s_client -connect localhost:993 -ssl3 | grep "Protocol"
Protocol : SSLv3
「-ssl2」も同様です。 Courierは複数回再起動されました-助けはありません。暗号を指定せずにopensslを実行すると、TLSが正しく使用されます。しかし、最終的にSSLを無効にする方法は?
注-TLS_CIPHER_LISTを変更したくない-理解したいのですが、なぜ正しく見えるのに、意図したとおりに機能しないのですか?
@ Steffen-ulrichがコメントですでに指摘しているように、cipherリストでSSLv3 -ciphersのみを無効にしました。 SSLv3暗号とSSLv3プロトコルは関連していますが、暗号を無効にしてもプロトコルが無効にならないのと同じではありません。また、プロトコルを無効にしても、暗号は無効になりません。
ダブコートでSSLを無効にするには、次を使用します。
ssl_protocols = !SSLv3 !SSLv2
また、tls_cipher_list
というパラメータはわかりませんが、ssl_cipher_list
があります。また、 Bettercrypto.org in Applied]で推奨されているように、ssl_prefer_server_ciphers = yes
を設定し、暗号のリストで暗号を優先することをお勧めします。暗号硬化 :
# SSL protocols to use
ssl_protocols = !SSLv3 !SSLv2
# SSL ciphers to use
ssl_cipher_list = EDH+CAMELLIA:EDH+aRSA:EECDH+aRSA+AESGCM:EECDH+aRSA+SHA384:EECDH+aRSA+SHA256:EECDH:+CAMELLIA256:+AES256:+CAMELLIA128:+AES128:+SSLv3:!aNULL:!eNULL:!LOW:!3DES:!MD5:!EXP:!PSK:!DSS:!RC4:!SEED:!ECDSA:CAMELLIA256-SHA:AES256-SHA:CAMELLIA128-SHA:AES128-SHA
# Prefer the server's order of ciphers over client's.
ssl_prefer_server_ciphers = yes