Mi proveedor de correo electrónico todavía es compatible con los antiguos SSL_RSA_WITH_RC4_128_SHA cifrados. ¿Qué significa eso para mí?
Si uso un sistema actualizado (Ubuntu 16.04) y un cliente actualizado (Thunderbird 52), ¿no debería usar este cifrado?
Pero cuando hay alguien con un sistema anterior, él todavía podría conectarse al servidor y no sería rechazado y enviaría sus credenciales y contenido con un cifrado incorrecto. ¿Es ese el problema único?
¿Está hablando de la conexión entre MTA y MUA? Si es así, el posible ataque sería reducir los ataques en el canal seguro durante el apretón de manos. Pero como dice, a menos que esté siendo atacado activamente, el OS / MUA debe negociar en el conjunto de cifrado más alto admitido
Significa que si su cliente es compatible con RC4, entonces puede terminar usándolo. Ya sea porque el administrador del servidor optó por anular la preferencia del conjunto de cifrado del cliente (esto se hizo comúnmente en respuesta al ataque "BESTIA") o porque un atacante de alguna manera logró engañar al mecanismo de negociación (un "ataque degradado").
En general, los sistemas de correo electrónico deben considerarse como de baja seguridad. Incluso si sabe qué protecciones se aplican a las conexiones del cliente, por lo general no tiene idea de qué sucede si se aplican protecciones al servidor a las conexiones del servidor y qué nivel de atención están teniendo los operadores del servidor de correo para evitar el peligro de los datos en reposo. Si necesita enviar datos confidenciales por correo electrónico, debe utilizar el cifrado de extremo a extremo.