Deshabilitar SSLv3 rompe las conexiones TLS 1.1

Navega tus respuestas
0

Tener un pequeño problema con un filtro de SPAM que recibe correos electrónicos entrantes. Recientemente, un cliente me notificó que los correos electrónicos se habían recuperado al intentar contactarme después de deshabilitar RC4, SSLv2 & SSLv3.

El rebote que han tenido es el siguiente.

  

La entrega de mensajes a '[email protected]' retrasó el SMTP   Informes del módulo (dominio somedomain.com): conexión con   mail.somedomain.com está roto

En comunicaciones anteriores puedo ver lo siguiente en el encabezado del mensaje.

  

versión = TLS1_1 cifrado = ECDHE-RSA-AES128-SHA bits = 128/128

Al hablar con nuestra red de soporte, me informaron que al deshabilitar SSLv3 también deshabilita TLS 1.0 y TLS 1.1 porque compartían los mismos cifrados. Parece que nuestro cliente no está usando TLS 1.2, y en comunicaciones anteriores puedo ver que se conectan con TLS 1.1, lo que explica por qué su correo no se está recibiendo.

Puedo entender que no se use TLS 1.0, pero pensé que TLS 1.1 aún era seguro y no sabía que SSLv3 tendría un impacto directo en él.

Cualquier ayuda sería apreciada.

    
pregunta Joey Bob 15.09.2017 - 11:09
fuente

1 respuesta

2
  

Me informaron que al deshabilitar SSLv3 también deshabilita TLS 1.0 y TLS 1.1 porque compartían los mismos cifrados.

Esto está mal.
 Hay una diferencia entre desactivar la versión del protocolo TLS y desactivar los cifrados. Pero, un error común es que alguien intenta deshabilitar el uso de SSLv3 deshabilitando todos los cifrados que se definieron para SSLv3 y superiores en lugar de deshabilitar la versión del protocolo TLS. Además, en realidad hay software que no permite deshabilitar las versiones del protocolo SSL, pero solo restringir los cifrados.

Por ejemplo, con el servidor de correo Postfix hay varias opciones para permitir o restringir cifrados ( smtpd_tls_mandatory_ciphers , smtpd_tls_mandatory_exclude_ciphers ), pero también opciones para permitir o restringir las versiones del protocolo TLS ( smtpd_tls_mandatory_protocols ). Solo el último debe usarse para restringir la versión del protocolo.

    
respondido por el Steffen Ullrich 15.09.2017 - 11:46
fuente

Lea otras preguntas en las etiquetas

Concepto usando ssh para crear un firewall dinámico. ¿Buena o mala idea? proftpd backdoored backdoored