hMailserver - это почтовый сервер Windows с открытым исходным кодом. Для входящей электронной почты он поддерживает STARTTLS
с помощью OpenSSL 1.1.1.
Он позволяет настраивать наборы шифров, по умолчанию:
ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:
ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:
kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:
ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:
ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:
DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:
AES128-GCM-SHA256:AES256-GCM-SHA384:ECDHE-RSA-RC4-SHA:ECDHE-ECDSA-RC4-SHA:
AES128:AES256:RC4-SHA:HIGH:!aNULL:!eNULL:!EXPORT:!DES:!3DES:!MD5:!PSK;
Я хотел отключить AES256-GCM-SHA384
, но после его удаления набор шифров все еще предлагался для STARTTLS
(по данным тестового сайта https://internet.nl )
В конце концов мне пришлось удалить AES128
, AES256
и HIGH
, чтобы остановить AES256-GCM-SHA384
от появления на STARTTLS
.
Как мне прочитать этот параметр конфигурации OpenSSL? В последней строке упоминаются автономные AES128
en AES256
. Разве это не означает, что любой шифр с AES128
или AES256
будет разрешен перед тем, как сделать длинный список избыточным?
То же самое и с HIGH
, разве это не делает упоминание многих других наборов шифров излишним?
Редактировать:
В ответ на вопросы почему я хотят удалить ES256-GCM-SHA384
: они ожидают, что наш почтовый сервер получит отличный результат на тестовом сайте https://internet.nl по контракту с правительством Нидерландов.В AES256-GCM-SHA384
говорится:
По крайней мере, один из ваших почтовых серверов поддерживает один или несколько шифров, которые находятся в статусе поэтапного отказа, поскольку они известны как хрупкие и могут стать недостаточно безопасный.
Вот почему я пытаюсь его отключить.
Я считаю, что вы правильно читаете список.
Несмотря на то, что в вашем примере есть большая избыточность, я предполагаю, что цель конкретных шифров в начале - установить порядок предпочтения для определенных шифров, независимо от того, является ли тот же самый шифр частью одного из встроенные списки шифров .
Что касается того, почему вы хотите удалить AES256-GCM-SHA384
, это довольно неясно, но, возможно, не имеет отношения к вопросу.