Не может отключить SSL в IMAP курьера
Я не могу отключить SSLv2\v3 в IMAP курьера.
В конфигурации imapd-ssl у меня есть следующее:
TLS_CIPHER_LIST="ALL:!SSLv2:!SSLv3:!ADH:!NULL:!EXPORT:!DES:!LOW:@STRENGTH"
Соответственно, к openssl - SSL отключен этой записью
[root@a10-52-79-181 ~]# openssl ciphers -v 'ALL:!SSLv2:!SSLv3:!ADH:!NULL:!EXPORT:!DES:!LOW:@STRENGTH'
ECDHE-RSA-AES256-GCM-SHA384 TLSv1.2 Kx=ECDH Au=RSA Enc=AESGCM(256) Mac=AEAD
... and rest of output is only related to TLS, nothing for SSL
До сих пор - выглядит хорошим. Но...
openssl s_client -connect localhost:993 -ssl3 | grep "Protocol"
Protocol : SSLv3
То же для "-ssl2". Курьер был перезапущен многократно - никакая справка. Если мы выполняем openssl, не указывая шифр - TLS, правильно используемый. Но как наконец отключить SSL?
Отметьте - я не хочу изменять TLS_CIPHER_LIST - я хочу понять, почему это кажется корректным, но не работающий, как предназначено?
Как @ Steffen-ulrich уже указывал в комментариях, вы отключили только шифры SSLv3- в списке шифров . Шифры SSLv3 и протокол SSLv3 связаны, но не одинаковы, поскольку отключение шифров не отключает протокол. А отключение протокола не приводит к отключению шифров.
Чтобы отключить SSL в голубятне, используйте это:
ssl_protocols = !SSLv3 !SSLv2
Кроме того, я не знаю параметра с именем tls_cipher_list , но есть ssl_cipher_list .Я также рекомендую вам установить ssl_prefer_server_ciphers = yes и указать предпочтения для шифров в списке шифров, как рекомендовано Bettercrypto.org в Прикладное усиление защиты шифрования :
# SSL protocols to use
ssl_protocols = !SSLv3 !SSLv2
# SSL ciphers to use
ssl_cipher_list = EDH+CAMELLIA:EDH+aRSA:EECDH+aRSA+AESGCM:EECDH+aRSA+SHA384:EECDH+aRSA+SHA256:EECDH:+CAMELLIA256:+AES256:+CAMELLIA128:+AES128:+SSLv3:!aNULL:!eNULL:!LOW:!3DES:!MD5:!EXP:!PSK:!DSS:!RC4:!SEED:!ECDSA:CAMELLIA256-SHA:AES256-SHA:CAMELLIA128-SHA:AES128-SHA
# Prefer the server's order of ciphers over client's.
ssl_prefer_server_ciphers = yes