Как выключение SSLv3 в сервере IMAP курьера влияет на старые Почтовые Агенты пользователя?
Я хотел бы смягчить ПУДЕЛЯ vuln. в моем сервере IMAP курьера. Я знаю, как сделать это. Я действительно заинтересован о том, как это будет влиять на MUA's, особенно более старые. Существуют все еще пользователи, использующие Outlook Express 6 в Windows XP. Есть ли какой-либо анализ, согласно которому MUA движение должно прекратить работать с SSLv3, выключенным от стороны сервера? Или возможно это - абсолютно безопасное действие?
Попробовав на прошлой неделе, я убедился, что это ломает много клиентов. Это правда, что современный Outlook поддерживает TLS, но он считает, что это означает, что запускаются в виде открытого текста, а затем переходят к шифрованию . Идея о том, что TLS может использоваться как ab initio cyphersuite, похоже, ускользнула от нее; всякий раз, когда я выбирал TLS, он настаивал на том, что он хотел использовать порт IMAP 143, а не порт IMAP / S 993. Хотя я признаюсь, что не являюсь администратором Windows, мне не удалось убедить его в обратном, и поскольку у меня нет никакого желания открывать порт 143, что несколько сбило меня с толку.
Также сломалась почта K-9 (v5.001) на телефонах Android. ALPINE (2.11) под Linux, конечно, нормально. Я не могу говорить от имени Thunderbird на любой платформе, потому что к тому времени, когда мои пользователи (включая мою жену) закончили пригибать уши, меня уговорили переключиться обратно.
Большая часть анализа, который я видел, предполагает, что есть на данный момент нет известных эксплойтов SSLv3 на основе IMAP / POP . Мой новый план - установить второй dovecot на порте 994, выполняющий только только TLS, и аккуратно побудить моих пользователей найти клиентов, которые работают на них. Если я увижу какие-либо сообщения о почтовых эксплойтах в дикой природе, то " осторожно " может стать немного более убедительным.
Отредактируйте , чтобы ответить на комментарий mc0e ниже:
Ваш распространенное заблуждение, от которого я страдал много лет. Однако вера в то, что TLS может использоваться только для шифрования с помощью эскалации из открытого текста, настолько же ошибочна, насколько и распространена.
Учтите: смягчение последствий POODLE основывается на отключении SSLv3 для серверов HTTPS; защищенные серверы могут говорить только по TLS. Если только вы не думаете, что HTTPS только что получил фазу открытого текста, которой не было до POODLE, и что все веб-браузеры в мире внезапно изменили поведение, когда они подключаются к TCP-порту 443 (это не так, и они не ; запускаем wirehark и видим), тогда TLS используется для сеансов, которые с самого начала зашифрованы. TLS, безусловно, поддерживает повышение скорости по сравнению с открытым текстом, но его также можно использовать для шифрования ab initio , несмотря на то, что думают различные клиентские программные пакеты.
Редактировать 2 : mc0e, я согласен с тем, что STARTTLS определенно ограничен службами с исходным открытым текстом. Однако это не то, что обсуждается, и это не та терминология, которую используют многие клиенты. Для них, как и для многих, STARTTLS и TLS - одно и то же; я хочу сказать, что это не так; последнее является чистым надмножеством первого.
Люди, которые думают, что переключение зашифрованных не-веб-сервисов с SSLv3 будет простым «, потому что клиент поддерживает TLS », могут столкнуться с проблемами из-за того, что клиент на самом деле означает, что он поддерживает « STARTTLS для повышения скорости шифрования», а не «TLS в качестве криптокомплекта для обоих ab initio зашифрованных соединений и повышение рейтинга от открытого текста ".
Outlook Express поддерживает TLS вместе с SSL. Таким образом, удаление SSlv3 повлияет на тех людей, у которых он настроен на использование SSL. Переход на использование TLS должен помочь.
SSLv3 настолько стар, как и TLS, что большинство почтовых клиентов поддерживают TLS, поэтому я бы особо не беспокоился об этом. POODLE также влияет на XPsp2 и ниже, поэтому, если вы можете просто сказать людям, чтобы они обновились до sp3, и то есть снова будет работать.