我无法在 courier-imap 中禁用 SSLv2\v3。
在 imapd-ssl 配置中我有以下内容:
TLS_CIPHER_LIST="ALL:!SSLv2:!SSLv3:!ADH:!NULL:!EXPORT:!DES:!LOW:@STRENGTH"
根据 openssl - SSL 已被此条目禁用
[root@a10-52-79-181 ~]# openssl ciphers -v 'ALL:!SSLv2:!SSLv3:!ADH:!NULL:!EXPORT:!DES:!LOW:@STRENGTH'
ECDHE-RSA-AES256-GCM-SHA384 TLSv1.2 Kx=ECDH Au=RSA Enc=AESGCM(256) Mac=AEAD
... and rest of output is only related to TLS, nothing for SSL
到目前为止看起来不错。但是...
openssl s_client -connect localhost:993 -ssl3 | grep "Protocol"
Protocol : SSLv3
“-ssl2” 也是一样。Courier 重启了好几次 - 没有帮助。如果我们运行 openssl 而不指定密码 - TLS 可以正确使用。但最终如何禁用 SSL?
注意 - 我不想更改 TLS_CIPHER_LIST - 我想了解,为什么它看起来正确,但却不能按预期工作?
答案1
正如@Steffen-ulrich 在评论中指出的那样,您只禁用了 SSLv3-密碼在里面密碼列表。SSLv3 密码和 SSLv3 协议相关,但并不相同,因为禁用密码不会禁用协议。禁用协议也不会禁用密码。
要在 dovecot 中禁用 SSL,请使用以下命令:
ssl_protocols = !SSLv3 !SSLv2
另外,我不知道有一个名为的参数tls_cipher_list,但有。我还鼓励您按照以下建议在密码列表中ssl_cipher_list设置和提供密码的首选项:ssl_prefer_server_ciphers = yesBettercrypto.org在应用加密强化:
# SSL protocols to use
ssl_protocols = !SSLv3 !SSLv2
# SSL ciphers to use
ssl_cipher_list = EDH+CAMELLIA:EDH+aRSA:EECDH+aRSA+AESGCM:EECDH+aRSA+SHA384:EECDH+aRSA+SHA256:EECDH:+CAMELLIA256:+AES256:+CAMELLIA128:+AES128:+SSLv3:!aNULL:!eNULL:!LOW:!3DES:!MD5:!EXP:!PSK:!DSS:!RC4:!SEED:!ECDSA:CAMELLIA256-SHA:AES256-SHA:CAMELLIA128-SHA:AES128-SHA
# Prefer the server's order of ciphers over client's.
ssl_prefer_server_ciphers = yes