Page 1 of 1
Perfect Forward Secrecy
Posted: Wed 19. Oct 2016, 02:44
by Jolinar
Hallo,
ich hab mir gerade mal die Mailserverkonfiguration etwas genauer angeschaut. Dabei ist mir aufgefallen, daß in puncto PFS noch verbessert werden könnte.
Die Unterstützung für „elliptic curve cryptography“ kann man mit
aktivieren.
Damit der Server und nicht der Client die EDH-Verschlüsselungsmethode wählt, kann man
setzen.
Möchte man die verwendeten Ciphers mitloggen, setzt man
Code: Select all
smtpd_tls_loglevel = 1
smtp_tls_loglevel = 1
Wäre schön, wenn das noch implementiert werden würde.
Lesestoff dazu:
Perfect Forward Secrecy (PFS) für Postfix und Dovecot einrichten
Re: Perfect Forward Secrecy
Posted: Wed 19. Oct 2016, 09:46
by Martin
Hallo,
das sollte für das nächste Update kein Problem darstellen.
Bezüglich "tls_preempt_cipherlist", ist dieser Wert mittlerweile gefahrlos einsetzbar? Mein letzter Stand der Postfix Dokumentation war, dass dieses aus Kompatibilitätsgründen aktuell noch nicht empfohlen ist.
#98
Re: Perfect Forward Secrecy
Posted: Wed 19. Oct 2016, 11:38
by Jolinar
Martin wrote:Bezüglich "tls_preempt_cipherlist", ist dieser Wert mittlerweile gefahrlos einsetzbar? Mein letzter Stand der Postfix Dokumentation war, dass dieses aus Kompatibilitätsgründen aktuell noch nicht empfohlen ist.
Meines Wissens nach gab es da mal eine Zeit lang Probleme mit Win2003-Kisten. Sollte aber obsolet geworden sein, da Win2003 ja inzwischen Gruft-Status hat
Re: Perfect Forward Secrecy
Posted: Wed 19. Oct 2016, 11:59
by Martin
Hallo,
sollte, in der Tat, ggf. sollte man für die Option aktuell noch dem Admin die Wahl überlassen.
(ich selbst verzichte z.B. auch bereits auf 3DES Cypher und nutze die ultra curve mir 384Bit
)
Werden uns dazu nochmal beraten.
Re: Perfect Forward Secrecy [GELÖST]
Posted: Wed 19. Oct 2016, 12:07
by Jolinar
Falls es doch noch zu vereinzelten Problemen bei der Aushandlung des Verschlüsselungsverfahrens kommen sollte, hat man ja dank der Erhöhung des TLS-Loglevels noch die Möglichkeit, diesen auf die Spur zu kommen.
Ich setze die Konfiguration seit etwa 2 Jahren so ein und hatte noch keine Auffälligkeiten im Log.
Nachtrag:
Martin wrote:ggf. sollte man für die Option aktuell noch dem Admin die Wahl überlassen.
Wenn ihr das eventuell als Checkbox einbauen würdet, hätte ich noch einen kleinen Extrawunsch für Leute wie mich, die z.B. WinXP oder Android < 5.0 garnicht auf ihrer Webpräsenz supporten wollen (quasi als Finetuning des Web-/Mailservers). Dann wäre es nämlich cool, wenn man noch Checkboxen zum Deaktivieren von TLSv1/TLSv1.1 und zur Auswahl verschiedener Ciphersuites hätte
Ich selber biete auf meinen Webauftritten nur noch TLSv1.2 an und orientiere mich bei der Auswahl der Ciphersuites hier:
Security/Server Side TLS