Quiero configurar mi nuevo servidor de correo de la forma más segura posible y preguntarme sobre el cifrado usado mientras me conecto al servidor SMTP de Google.
Tengo curiosidad de por qué prefieren el cifrado ECDHE-RSA-AES128-GCM-SHA256
antes de ECDHE-RSA-AES256-GCM-SHA384
? ¿No es esto más débil?
Cuando pruebo con openssl s_client -connect gmail-smtp-in.l.google.com:25 -starttls smtp -cipher ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256
la conexión negocia con el cifrado ECDHE-RSA-AES128-GCM-SHA256
.
Si presento solo el cifrado ECDHE-RSA-AES256-GCM-SHA384
al servidor que los utiliza.
La pregunta más importante: ¿hay una manera de forzar a postfix a usar solo el cifrado más fuerte? Si excluyo AES128 a través de tls_policy, ¡se pone aún peor!