Conciliar IMAP4 RFC sin RC4 RFC

Navega tus respuestas
0

RFC 3501 declara:

  

Las implementaciones de servidor y cliente IMAP DEBEN implementar el TLS_RSA_WITH_RC4_128_MD5.

RFC 7465 declara:

  

o Los clientes TLS NO DEBEN incluir conjuntos de cifrado RC4 en ClientHello        mensaje

     

o Los servidores TLS NO DEBEN seleccionar un conjunto de cifrado RC4 cuando un cliente TLS        envía tal paquete de cifrado en el mensaje de ClientHello.

     

o Si el cliente TLS solo ofrece suites de cifrado RC4, el servidor TLS        DEBE terminar el apretón de manos. El servidor TLS PUEDE enviar el        Alerta fatal insuficiente de seguridad en este caso.

No veo de todos modos para reconciliar estos dos RFC. He visto que Google ha desactivado RC4 en sus servidores de correo electrónico y requiere TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256, pero eso no es necesariamente interoperable con el resto del mundo.

¿Hay alguna actualización para RFC 3501 que cambie la suite de cifrado TLS obligatoria?

    
pregunta Swashbuckler 07.06.2016 - 06:13
fuente

2 respuestas

1
  

No veo de todos modos para conciliar estos dos RFC

Hay dos formas de reconciliarlos:

  1. Elija Seguridad (RFC 7465) sobre la compatibilidad con versiones anteriores (RFC 3501)
  2. Elija la compatibilidad con versiones anteriores (RFC 3501) sobre la seguridad (RFC 7465)
  

He visto que Google ha desactivado RC4 en sus servidores de correo electrónico y está   requiriendo TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256, pero eso no es   Es necesariamente interoperable con el resto del mundo.

Google eligió la opción # 1. Probablemente tomaron un censo de todo su tráfico IMAP, revisaron las suites de cifrado del cliente que se sugirieron, vieron que nadie o un número insignificante de clientes se verían afectados y luego apagarían RC4.

  

¿Hay alguna actualización para RFC 3501 que cambie el TLS obligatorio?   suite de cifrado?

Dudoso. RFCs requieren sentido común. Es de esperar que las recomendaciones técnicas limitadas, como los cifrados obligatorios en una especificación de otro tipo, sean anuladas por RFC más específicas y posteriores. Nadie va a revisar las RFC de IMAP solo para asegurarse de que reflejen la práctica TLS actual; se espera que todos voten con sus pies con la práctica actual de TLS.

Todo esto está en línea con el estado especial de los RFC: son reglas que todos deben seguir, excepto cuando no lo están o no lo hacen. La única fuerza que tiene un RFC es la masa crítica o las personas que le prestan atención.

    
respondido por el gowenfawr 07.06.2016 - 14:06
fuente
0

RFC 7525 proporciona recomendaciones sobre cómo lidiar con los protocolos y sistemas de cifrado TLS hoy, incluyendo: 

4.1.  General Guidelines
   ...
   o  Implementations MUST NOT negotiate RC4 cipher suites.

Y también es aplicable a IMAP: 

5.  Applicability Statement
   ...
   o  Email software and services that wish to protect IMAP, POP3, or
      SMTP traffic with TLS.
    
respondido por el Steffen Ullrich 07.06.2016 - 06:54
fuente

Lea otras preguntas en las etiquetas

Virus en el navegador: afecta a Chrome sobre todo [cerrado] Ejecución de comandos DVWA alta [duplicado]