邮件服务器是一个开源的 Windows 电子邮件服务器。它STARTTLS借助 OpenSSL 1.1.1 支持传入电子邮件。
它允许配置密码套件,默认为:
ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:
ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:
kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:
ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:
ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:
DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:
AES128-GCM-SHA256:AES256-GCM-SHA384:ECDHE-RSA-RC4-SHA:ECDHE-ECDSA-RC4-SHA:
AES128:AES256:RC4-SHA:HIGH:!aNULL:!eNULL:!EXPORT:!DES:!3DES:!MD5:!PSK;
我想禁用它AES256-GCM-SHA384,但删除它后,密码套件仍然提供STARTTLS(根据测试网站https://internet.nl)
最后,我不得不删除AES128,AES256并HIGH停止AES256-GCM-SHA384出现在STARTTLS。
我应该如何阅读此 OpenSSL 配置设置?最后一行AES128提到AES256了 standalone。这是否意味着任何密码与AES128或AES256将被允许,使得之前的长列表变得多余?
同样的情况也发生在 上HIGH,这是否会使提及许多其他密码套件变得多余?
编辑:回答问题为什么我想删除ES256-GCM-SHA384:对于荷兰政府合同,他们希望我们的电子邮件服务器在https://internet.nl测试站点。上面AES256-GCM-SHA384写着:
您的至少一个邮件服务器支持一个或多个处于逐步淘汰状态的密码,因为它们很脆弱并且有变得不够安全的风险。
这就是我试图禁用它的原因。
答案1
我相信你读的是正确的这份清单。
虽然您的示例中存在大量冗余,但我认为,一开始使用特定密码的目的是建立特定密码的优先顺序,而不管同一个密码最终是否成为其中一个的一部分。内置密码列表。
至于为什么要删除AES256-GCM-SHA384,这还不清楚,但可能与问题无关。