sslv3 alert handshake failure  [GELÖST]

Locked
Blacky54
Posts: 4
Joined: Sat 22. Jun 2019, 11:51

sslv3 alert handshake failure

Post by Blacky54 »

Hallo,

seit dem 06.08.2020 arbeitet der Wartungsintervall für die SSL-Zertifikate nicht mehr korrekt.

Auszug aus dem Protokoll:
[06-Aug-2020 00:00:12] INFO --> check domain "lobo-pro.com'
[06-Aug-2020 00:00:12] INFO --> certificate is valid until 2020-09-03 13:16:12 (28 days left)
[06-Aug-2020 00:00:12] INFO --> certificate is in renewal period
[06-Aug-2020 00:00:12] INFO --> renew cert
[06-Aug-2020 00:00:12] INFO --> Using certificate authority: "https://acme-v02.api.letsencrypt.org/" (LIVE).
[06-Aug-2020 00:00:12] INFO --> Getting endpoint URLs.
[06-Aug-2020 00:00:12] ERROR --> a Let's Encrypt error occurred: Curl: error:14094410:SSL routines:ssl3_read_bytes:sslv3 alert handshake failure (https://acme-v02.api.letsencrypt.org/directory)
[06-Aug-2020 00:00:12] INFO --> check domain "www.lobo-pro.com'
[06-Aug-2020 00:00:12] INFO --> certificate is valid until 2020-09-03 13:16:25 (28 days left)
[06-Aug-2020 00:00:12] INFO --> certificate is in renewal period
[06-Aug-2020 00:00:12] INFO --> renew cert
[06-Aug-2020 00:00:12] INFO --> Using certificate authority: "https://acme-v02.api.letsencrypt.org/" (LIVE).
[06-Aug-2020 00:00:12] INFO --> Getting endpoint URLs.
[06-Aug-2020 00:00:13] ERROR --> a Let's Encrypt error occurred: Curl: error:14094410:SSL routines:ssl3_read_bytes:sslv3 alert handshake failure (https://acme-v02.api.letsencrypt.org/directory)
[06-Aug-2020 00:00:13] INFO --> check domain "lobo-pro.de'
[06-Aug-2020 00:00:13] INFO --> certificate is valid until 2020-09-03 13:16:38 (28 days left)
[06-Aug-2020 00:00:13] INFO --> certificate is in renewal period
[06-Aug-2020 00:00:13] INFO --> renew cert
[06-Aug-2020 00:00:13] INFO --> Using certificate authority: "https://acme-v02.api.letsencrypt.org/" (LIVE).
[06-Aug-2020 00:00:13] INFO --> Getting endpoint URLs.
[06-Aug-2020 00:00:14] ERROR --> a Let's Encrypt error occurred: Curl: error:14094410:SSL routines:ssl3_read_bytes:sslv3 alert handshake failure (https://acme-v02.api.letsencrypt.org/directory)
[06-Aug-2020 00:00:14] INFO --> check domain "www.lobo-pro.de'
[06-Aug-2020 00:00:14] INFO --> certificate is valid until 2020-09-03 13:16:51 (28 days left)
[06-Aug-2020 00:00:14] INFO --> certificate is in renewal period
[06-Aug-2020 00:00:14] INFO --> renew cert
[06-Aug-2020 00:00:14] INFO --> Using certificate authority: "https://acme-v02.api.letsencrypt.org/" (LIVE).
[06-Aug-2020 00:00:14] INFO --> Getting endpoint URLs.
[06-Aug-2020 00:00:15] ERROR --> a Let's Encrypt error occurred: Curl: error:14094410:SSL routines:ssl3_read_bytes:sslv3 alert handshake failure (https://acme-v02.api.letsencrypt.org/directory)
Angaben in der sss.conf:
# SSL Cipher Suite:
SSLProtocol all -SSLv3 -TLSv1 -TLSv1.1
SSLCipherSuite ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384
SSLHonorCipherOrder off
SSLCompression off
SSLSessionTickets off

# OCSP Stapling
SSLUseStapling on
SSLStaplingResponderTimeout 5
SSLStaplingReturnResponderErrors off
SSLStaplingCache shmcb:${APACHE_RUN_DIR}/ssl_ocsp(512000)
Als Betriebssystem läuft Debian 10.5 (64-bit)
Kernel 4.19.0-10-amd64
Keyhelp ist auf Version 20.2 (Build 2027)

Alle Pakete sind aktuell, leider weiß ich nicht, welche Pakete zu dem Zeitpunkt aktualisiert wurden...

Ich hoffe ihr könnt mir helfen.

Mit freundlichen Grüßen
Blacky54
User avatar
george
Posts: 87
Joined: Fri 3. Jan 2020, 05:53
Location: AUSTRALIA

Re: sslv3 alert handshake failure

Post by george »

Hallo Blacky54,
können Sie die Paketaktualisierungen hier überprüfen:
KeyHelp Panel > System Status > Logs > serverupdate.log

Meine Vermutung ist das Curl-Update...
Blacky54
Posts: 4
Joined: Sat 22. Jun 2019, 11:51

Re: sslv3 alert handshake failure

Post by Blacky54 »

Hallo george,

vor dem 06.08.2020 war die letzte Aktualisierung am 03.08.2020.

Am 04.08 & 05.08.2020 lief der SSL-Wartungsintervall noch einwandfrei durch...

Auszug aus der serverupdate.log vom 06.08.2020:
Das folgende Paket wurde automatisch installiert und wird nicht mehr benötigt:
linux-image-4.19.0-8-amd64
Verwenden Sie »apt autoremove«, um es zu entfernen.
Die folgenden Pakete werden aktualisiert (Upgrade):
libjson-c3
Mehr wurde nicht aktualisiert.
Danach erfolgte erst wieder am 14.08.2020 eine Aktualisierung von Paketen...

Mit freundlichen Grüßen
Blacky54

Nachtrag:
In der repo-update.log habe ich gefunden, das die PHP-Interpreter am 05.08.2020 aktualisiert worden sind
7.4.6_... zu 7.4.8_...
7.3.18_... zu 7.3.20_...
7.2.31_... zu 7.2.32_...

Mit freundlichen Grüßen
Blacky54
Blacky54
Posts: 4
Joined: Sat 22. Jun 2019, 11:51

Re: sslv3 alert handshake failure

Post by Blacky54 »

Keiner eine Idee?
Blacky54
Posts: 4
Joined: Sat 22. Jun 2019, 11:51

Re: sslv3 alert handshake failure  [GELÖST]

Post by Blacky54 »

Habe nun nach tagen des testens eine temporäre Lösung gefunden.

ich musste kurzfristig eine Änderung in /etc/ssl/openssl.cnf vornehmen:

Vorher:
[system_default_sect]
MinProtocol = TLSv1.3
CipherString = DEFAULT@SECLEVEL=2
Kurzfriste Änderung:
[system_default_sect]
MinProtocol = TLSv1.1
CipherString = DEFAULT@SECLEVEL=1
Nach Durchlauf des SSL-Wartungsintervalls Änderungen wieder zurückgenommen...
User avatar
Schleek
Posts: 22
Joined: Mon 7. Sep 2020, 18:11
Location: Luxemburg

Re: sslv3 alert handshake failure

Post by Schleek »

Hallo,

Ich greife das Thema nochmals auf, da ich auch keine Mails an verschiedene Server senden kann. Gmail zum Beispiel funktioniert einwandfrei, andere aber nicht.

Code: Select all

Sep 14 20:53:43 server postfix/smtpd[24163]: disconnect from localhost[127.0.0.1] ehlo=1 mail=1 rcpt=1 data=1 quit=1 commands=5
Sep 14 20:53:43 server postfix/qmgr[24116]: D87FAE098C: from=<email>, size=2179, nrcpt=1 (queue active)
Sep 14 20:53:43 server amavis[6906]: (06906-20) Passed CLEAN {RelayedOpenRelay}, [185.6.233.74]:27402 [185.6.233.74] <email> -> <email2>, Queue-ID: AF8A1E097E, Message-ID: <etPan.5f5fbc36.65df5c2a.a2f: rOO5Vt-HHLd5, Hits: -0.888, size: 1705, queued_as: D87FAE098C, 1071 ms
Sep 14 20:53:43 server postfix/smtp[24155]: AF8A1E097E: to=<email2>, relay=127.0.0.1[127.0.0.1]:10024, delay=1.2, delays=0.12/0/0/1.1, dsn=2.0.0, status=sent (250 2.0.0 from MTA(smtp:[127.0.0.1]:10025): 250 2.0.098C)
Sep 14 20:53:43 server postfix/qmgr[24116]: AF8A1E097E: removed
Sep 14 20:53:44 server postfix/smtp[24164]: SSL_connect error to mx2.cgie.lu[158.64.75.19]:25: -1
Sep 14 20:53:44 server postfix/smtp[24164]: warning: TLS library problem: error:14094410:SSL routines:ssl3_read_bytes:sslv3 alert handshake failure:../ssl/record/rec_layer_s3.c:1544:SSL alert number 40:
Sep 14 20:53:44 server postfix/smtp[24164]: D87FAE098C: Cannot start TLS: handshake failure
Sep 14 20:53:44 server postfix/smtp[24164]: SSL_connect error to mx1.cgie.lu[158.64.75.18]:25: -1
Sep 14 20:53:44 server postfix/smtp[24164]: warning: TLS library problem: error:14094410:SSL routines:ssl3_read_bytes:sslv3 alert handshake failure:../ssl/record/rec_layer_s3.c:1544:SSL alert number 40:
Sep 14 20:53:44 server postfix/smtp[24164]: D87FAE098C: to=<email2>, relay=mx1.cgie.lu[158.64.75.18]:25, delay=0.34, delays=0/0/0.34/0, dsn=4.7.5, status=deferred (Cannot start TLS: handshake failure)
Sep 14 20:53:52 server dovecot: imap(email1)<24270><UC6zjUqvImu5BulK>: Connection closed (UID STORE finished 9.423 secs ago) in=73 out=822
Sep 14 20:53:52 server dovecot: imap(email1)<24268><ASuujUqvGmu5BulK>: Connection closed (UID FETCH finished 9.641 secs ago) in=1240 out=3093
Hier meine Postfix conf

Code: Select all

/usr/sbin/postconf -n
alias_database = hash:/etc/aliases
alias_maps = hash:/etc/aliases
append_dot_mydomain = no
biff = no
compatibility_level = 2
content_filter = amavis:127.0.0.1:10024
header_checks = regexp:/etc/postfix/header_checks
inet_interfaces = all
inet_protocols = ipv4
mailbox_command = /usr/lib/dovecot/deliver
mailbox_size_limit = 0
mailbox_transport = dovecot
message_size_limit = 36700160
milter_default_action = accept
milter_protocol = 6
mydestination = localhost, $myhostname
myhostname = server.domain.de
mynetworks = 127.0.0.0/8 [::ffff:127.0.0.0]/104 [::1]/128
myorigin = /etc/mailname
non_smtpd_milters = inet:127.0.0.1:12345
readme_directory = no
recipient_delimiter = +
relayhost =
smtp_tls_CApath = /etc/ssl/certs
smtp_tls_ciphers = medium
smtp_tls_exclude_ciphers = RC4, 3DES, aNULL
smtp_tls_mandatory_ciphers = high
smtp_tls_mandatory_protocols = !SSLv2, !SSLv3, !TLSv1, !TLSv1.1
smtp_tls_protocols = !SSLv2, !SSLv3, !TLSv1, !TLSv1.1
smtp_tls_security_level = may
smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache
smtpd_banner = $myhostname ESMTP $mail_name (Ubuntu)
smtpd_client_restrictions = permit_mynetworks, permit_sasl_authenticated, reject_multi_recipient_bounce, reject_unauth_destination
smtpd_error_sleep_time = 10s
smtpd_helo_required = yes
smtpd_helo_restrictions = permit_mynetworks, permit_sasl_authenticated, reject_invalid_hostname, reject_non_fqdn_hostname
smtpd_milters = inet:127.0.0.1:12345
smtpd_recipient_limit = 50
smtpd_recipient_overshoot_limit = 50
smtpd_recipient_restrictions = permit_mynetworks, permit_sasl_authenticated, reject_unauth_destination, reject_unauth_pipelining, reject_non_fqdn_recipient, check_policy_service unix:private/policy
smtpd_sasl_auth_enable = yes
smtpd_sasl_local_domain = $myhostname
smtpd_sasl_path = private/auth
smtpd_sasl_security_options = noanonymous
smtpd_sasl_type = dovecot
smtpd_sender_restrictions = permit_mynetworks, permit_sasl_authenticated, reject_non_fqdn_sender, reject_unauth_destination, reject_unknown_sender_domain, reject_unknown_client, reject_non_fqdn_hostname
smtpd_soft_error_limit = 5
smtpd_tls_CAfile = /etc/ssl/keyhelp/mail-ca.crt
smtpd_tls_CApath = /etc/ssl/certs
smtpd_tls_auth_only = yes
smtpd_tls_cert_file = /etc/ssl/keyhelp/mail.pem
smtpd_tls_ciphers = medium
smtpd_tls_dh1024_param_file = /etc/postfix/dh2048.pem
smtpd_tls_dh512_param_file = /etc/postfix/dh512.pem
smtpd_tls_eecdh_grade = ultra
smtpd_tls_exclude_ciphers = RC4, 3DES, aNULL
smtpd_tls_key_file = /etc/ssl/keyhelp/mail.pem
smtpd_tls_mandatory_ciphers = high
smtpd_tls_mandatory_protocols = !SSLv2, !SSLv3, !TLSv1, !TLSv1.1
smtpd_tls_protocols = !SSLv2, !SSLv3, !TLSv1, !TLSv1.1
smtpd_tls_security_level = may
smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache
smtpd_use_tls = yes
tls_eecdh_strong_curve = prime256v1
tls_eecdh_ultra_curve = secp384r1
tls_medium_cipherlist = ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384
tls_preempt_cipherlist = no
virtual_alias_maps = mysql:/etc/postfix/mysql-virtual-alias-maps.cf
virtual_mailbox_domains = mysql:/etc/postfix/mysql-virtual-mailbox-domains.cf
virtual_mailbox_maps = mysql:/etc/postfix/mysql-virtual-mailbox-maps.cf
virtual_transport = lmtp:unix:private/dovecot-lmtp
Geändert habe ich aber weiter nichts an der main.cf, es ist die Version, welche bei der Installation von keyhelp entstanden ist.
Hat vielleicht jemand einen Tipp für mich ?
User avatar
superjogi
Posts: 137
Joined: Sat 11. Jan 2020, 23:24

Re: sslv3 alert handshake failure

Post by superjogi »

Soweit ich es verstanden habe gibt es für Emailversand eine ähnliche, separate Einstellung wie bei dem Problem des OP.

Du kannst für Emailversand also postfix in der von dir erwähnten Datei die TLS ab 1 aktivieren, das ist zwar eher rückschrittlich, aber dann kann dein Postfix mit allen Servern:

Code: Select all

smtpd_tls_mandatory_protocols = !SSLv2, !SSLv3
smtpd_tls_protocols = !SSLv2, !SSLv3
Hier werden also die Protokolle aufgeführt die unsicher und veraltet sind und nicht zum Einsatz kommen sollen. TLS braucht man leider manchmal, weil es doch noch Server gibt, die hier kein Update haben. Gmail sollte da aber natürlich nicht dazugehören, die haben natürlich immer alles aktuell.

smtpd ist für senden
smtp ist für empfangen, das gibt es nocheinmal an anderer Stelle, muss man aber nicht umstellen.

mandatory ist eigentlich legacy benötigst du nicht.
User avatar
stfn116
Posts: 306
Joined: Wed 9. Jan 2019, 11:43
Location: Bavaria

Re: sslv3 alert handshake failure

Post by stfn116 »

die von dir genannten Einstellungen lassen sich auch über das Panel auf alle SSL Einstellungen übertragen, falls gewünscht. ;)

Ich persönlich würde aber einen harten Weg gehen und die Betreiber zum notwendigen (da bereits 1+ Jahr abgelaufen) Updates zu zwingen.
Ansonsten kann man auch ein modernen Schloss einbauen und dann den Schlüssel unter die Fußmatte legen... ;)
:D Wer meint, Kompetenz sei teuer, möge es einmal mit Inkompetenz versuchen. Zitat: Bernd W. Klöckner. :lol:
User avatar
OlliTheDarkness
Posts: 1854
Joined: Tue 14. Aug 2018, 16:41
Location: Essen (NRW)

Re: sslv3 alert handshake failure

Post by OlliTheDarkness »

stfn116 wrote: Thu 17. Sep 2020, 21:27 die von dir genannten Einstellungen lassen sich auch über das Panel auf alle SSL Einstellungen übertragen, falls gewünscht. ;)

Ich persönlich würde aber einen harten Weg gehen und die Betreiber zum notwendigen (da bereits 1+ Jahr abgelaufen) Updates zu zwingen.
Ansonsten kann man auch ein modernen Schloss einbauen und dann den Schlüssel unter die Fußmatte legen... ;)
Scheiße :oops:

Woher weißt du wo mein Schlüssel liegt :oops:

Toll, neues Versteck suchen. :lol:
Mit freundlichen Grüßen
OlliTheDarkness

**************************************************************
Helden leben lange, Legenden sterben nie

:!: World Hack Organization :!:
**************************************************************
User avatar
superjogi
Posts: 137
Joined: Sat 11. Jan 2020, 23:24

Re: sslv3 alert handshake failure

Post by superjogi »

stfn116 wrote: Thu 17. Sep 2020, 21:27 die von dir genannten Einstellungen lassen sich auch über das Panel auf alle SSL Einstellungen übertragen, falls gewünscht. ;)
Ja, aber dann gilt es für alle Bereiche und nicht nur explizit beim Mailversand, um älteren Servern die Email zu übergeben.
Wenn man es explizit bei Postfix macht, dann bleibt man ansonsten auf einem hohen Sicherheitslevel.
User avatar
stfn116
Posts: 306
Joined: Wed 9. Jan 2019, 11:43
Location: Bavaria

Re: sslv3 alert handshake failure

Post by stfn116 »

OlliTheDarkness wrote: Thu 17. Sep 2020, 21:38 Scheiße :oops:

Woher weißt du wo mein Schlüssel liegt :oops:

Toll, neues Versteck suchen. :lol:
Der liegt zu häufig dort. Da braucht es nicht mal einen Pentester. Aber mal back to Topic:

@superjogi: Da hast du vollkommen recht, dass die Ciphersuiten global eingestellt werden. Inwiefern das (offene) Tor bei E-Mail weniger unsicher als bei ftp oder http ist, möchte ich an dieser Stelle hier nicht thematisieren.
:D Wer meint, Kompetenz sei teuer, möge es einmal mit Inkompetenz versuchen. Zitat: Bernd W. Klöckner. :lol:
User avatar
Jolinar
Community Moderator
Posts: 3559
Joined: Sat 30. Jan 2016, 07:11
Location: Weimar (Thüringen)
Contact:

Re: sslv3 alert handshake failure

Post by Jolinar »

superjogi wrote: Thu 17. Sep 2020, 21:03 Du kannst für Emailversand also postfix in der von dir erwähnten Datei die TLS ab 1 aktivieren, das ist zwar eher rückschrittlich, aber dann kann dein Postfix mit allen Servern:
So eine Denkweise ist einer der Hauptgründe, warum es im Netz noch derartig viele gammelige Mailserver gibt, die seit Monaten/Jahren keinerlei sicherheitsrelevante Updates erhalten haben...

BTW:
Wenn du deinen Mailserver für dich alleine nutzt, dann trägst du auch alleine das Risiko, wenn die Sicherheit des Mailservers derart aufgeweicht und ausgehöhlt wird.
Wenn du allerdings auch nur ein einziges Mailpostfach für andere Menschen (Bekannte, Freunde, Familie oder sogar Kunden) bereitstellst, dann handelst du mindestens fahrlässig.
Wäre ich Kunde auf deinem Mailserver, würde ich dir dafür gehörig auf die Füße treten oder mir woanders einen Mailservice suchen, der sicher ist.
Nur ein theoretisches Beispiel:
Ein gewerblicher Kunde nutzt einen solchen Mailserver und aufgrund der verwendeten unsicheren Verschlüsselung würde jemand dessen Mailverkehr mitlesen und so Betriebsgeheimisse dieses Kunden abgreifen...Was glaubst du, wen der Kunde dafür zur Rechenschaft ziehen würde? Bestimmt nicht denjenigen, der den Mailverkehr mitgeschnitten hat...
Wenn jemand inkompetent ist, dann kann er nicht wissen, daß er inkompetent ist. (David Dunning)

Data Collector für Community Support
___
Ich verwende zwei verschiedene Schriftfarben in meinen Beiträgen /
I use two different font colors in my posts:
  • In dieser Farbe schreibe ich als Moderator und gebe moderative Hinweise oder begründe moderative Eingriffe /
    In this color, I write as a moderator and provide moderative guidance or justify moderative interventions
  • In dieser Farbe schreibe ich als Community Mitglied und teile meine private Meinung und persönlichen Ansichten mit /
    In this color, I write as a community member and share my personal opinions and views
User avatar
OlliTheDarkness
Posts: 1854
Joined: Tue 14. Aug 2018, 16:41
Location: Essen (NRW)

Re: sslv3 alert handshake failure

Post by OlliTheDarkness »

Jolinar wrote: Fri 18. Sep 2020, 19:41
superjogi wrote: Thu 17. Sep 2020, 21:03 Du kannst für Emailversand also postfix in der von dir erwähnten Datei die TLS ab 1 aktivieren, das ist zwar eher rückschrittlich, aber dann kann dein Postfix mit allen Servern:
So eine Denkweise ist einer der Hauptgründe, warum es im Netz noch derartig viele gammelige Mailserver gibt, die seit Monaten/Jahren keinerlei sicherheitsrelevante Updates erhalten haben...

BTW:
Wenn du deinen Mailserver für dich alleine nutzt, dann trägst du auch alleine das Risiko, wenn die Sicherheit des Mailservers derart aufgeweicht und ausgehöhlt wird.
Wenn du allerdings auch nur ein einziges Mailpostfach für andere Menschen (Bekannte, Freunde, Familie oder sogar Kunden) bereitstellst, dann handelst du mindestens fahrlässig.
Wäre ich Kunde auf deinem Mailserver, würde ich dir dafür gehörig auf die Füße treten oder mir woanders einen Mailservice suchen, der sicher ist.
Nur ein theoretisches Beispiel:
Ein gewerblicher Kunde nutzt einen solchen Mailserver und aufgrund der verwendeten unsicheren Verschlüsselung würde jemand dessen Mailverkehr mitlesen und so Betriebsgeheimisse dieses Kunden abgreifen...Was glaubst du, wen der Kunde dafür zur Rechenschaft ziehen würde? Bestimmt nicht denjenigen, der den Mailverkehr mitgeschnitten hat...
Du lobst unser Rechtssystem hier aber echt hoch, du weißt schon in welchem Land du bist?
Jeder Staatsanwalt würde sowas an seine Comicwand nageln, ohne Sammelklage macht da keiner nen Finger krum.
Oh sorry hab mich vertan is ja nen kleiner Unternehmer , den kann man ja ausnehmen, machen wa.
Aber die großen lassen wir mal, die können selbst 21 Leute umbringen, nen Prozess 10 Jahre langziehen und am Ende wars keiner, verjährt... :oops:

Sorry das es OffTopic ist aber unser Rechtssystem kannst in die Tonne klatschen.

Grundsätzlich hast du Recht , aber wenn er es gewerblich machen WÜRDE dann kannst sicher sein das der Betrieb nicht lange läuft weil da stehen dann ganz schnell einige nette Leute vor der Tür die alles Sicherheitstech. prüfen und dir den laden dicht machen.
Mit freundlichen Grüßen
OlliTheDarkness

**************************************************************
Helden leben lange, Legenden sterben nie

:!: World Hack Organization :!:
**************************************************************
User avatar
Jolinar
Community Moderator
Posts: 3559
Joined: Sat 30. Jan 2016, 07:11
Location: Weimar (Thüringen)
Contact:

Re: sslv3 alert handshake failure

Post by Jolinar »

OlliTheDarkness wrote: Fri 18. Sep 2020, 21:10 Du lobst unser Rechtssystem hier aber echt hoch, du weißt schon in welchem Land du bist?
Jeder Staatsanwalt würde sowas an seine Comicwand nageln
Ich bin bei dem Beispiel auch nicht von strafbarem Handeln ausgegangen...Natürlich sind unsere Staatsanwälte mit anderen Dingen "überlastet"... :lol:
Aber wenn die Schadenssumme hoch genug ist und der Geschädigte gute Anwälte hat, dann steht einem Erfolg einer Zivilklage auf Schadensersatz nicht allzu viel im Weg. ;) 8-)
Wenn jemand inkompetent ist, dann kann er nicht wissen, daß er inkompetent ist. (David Dunning)

Data Collector für Community Support
___
Ich verwende zwei verschiedene Schriftfarben in meinen Beiträgen /
I use two different font colors in my posts:
  • In dieser Farbe schreibe ich als Moderator und gebe moderative Hinweise oder begründe moderative Eingriffe /
    In this color, I write as a moderator and provide moderative guidance or justify moderative interventions
  • In dieser Farbe schreibe ich als Community Mitglied und teile meine private Meinung und persönlichen Ansichten mit /
    In this color, I write as a community member and share my personal opinions and views
User avatar
superjogi
Posts: 137
Joined: Sat 11. Jan 2020, 23:24

Re: sslv3 alert handshake failure

Post by superjogi »

Dadurch, dass bei postfix die Verschlüsselung nur opportunistisch und nicht zwingend ist, nur beim Versenden, zwischen den Mailservern auf dem jeweils gemeinsam verfügbaren höchsten Standard stattfindet, sowie der Fallback unverschlüsselt ist, wird bei meinem Lösungsvorschlag kein Sicherheitsrisiko aufgemacht (https://zurgl.com/how-to-configure-tls- ... n-postfix/).
Anders bei dem ursprünglichen Vorschlag.
Locked