Merci. Autre piste à la fin de https://stackoverflow.com/questions/36417224/openssl-dh-key-too-small-error
Le passage à CipherString = DEFAULT@SECLEVEL=1 dans le fichier de configuration openssl permet de se connecter. Mais c'est quand même un peu dommage que TrendMicro soit aussi mal configuré! Le dim. 16 janv. 2022 à 16:53, Jarod G. via FRsAG <frsag@frsag.org> a écrit : > Hello, > > J'arrive à me connecter aux 2 sur ma Arch et openssl 1.1.1m (le TrendMicro > est TRÈS lent à répondre par contre). > > Je constate que le certificat utilisé pour ac-orleans-tours est autosigné, > ce qui devrait déjà être un problème à part entière. > > Autrement oui le DH de 1024 bits c'est normal que ça soit refusé, l'ANSSI > recommande 3072 bits minimum (donc 4096 en pratique). > C'est sûrement que la conf par défaut d'OpenSSL est différente selon les > version des distros que tu teste que le résultat diffère. > > Pour ta CentOS le trendmicro a du passer car son certificat n'est pas > autosigné contrairement à ac-orleans-tours. > > Bon courage pour la suite, > > Jarod G. > > > On 16/01/2022 16:43, Christophe Grenier wrote: > > Bonjour > > > Sous CentOS 8, essayes "update-crypto-policies --set LEGACY" > > Il est probable que cela contourne le problème. > > Cordialement > ------------------------------ > *De :* Juan Isoza <jis...@gmail.com> <jis...@gmail.com> > *Envoyé :* dimanche 16 janvier 2022 16:29:50 > *À :* frsag@frsag.org > *Objet :* [FRsAG] Problème de configuration STARTTLS sur MX > > > Bonjour, > J'ai des problèmes d'envoi de mail avec deux domaines, suivant l'OS des > serveurs. > > Je reproduit le problème de négociation TLS avec "openssl s_client". > > Pour les domaines ac-orleans-tour.fr et trendmicro.com; je lance > > openssl s_client -connect mx1.ac-orleans-tours.fr:25 -starttls smtp > > openssl s_client -connect sjdc-itpf-03.udc.trendmicro.com:25 -starttls smtp > > > Sous Ubuntu 18.04 ou Debian 10, les 2 domaines fonctionnent > Sous Centos 8.4, seul trendmicro fonctionne > Sous Ubuntu 20.04 ou Debian 11; les 2 domaines sont refusé > Tous ces systèmes on des versions openssl basée sur la 1.1.1 > > Pour ac-orleans-tour, le message suivant apparait: > > 140117515637376:error:141A318A:SSL routines:tls_process_ske_dhe:dh key too > small:../ssl/statem/statem_clnt.c:2149: > > J'aimerais comprendre, et éventuellement savoir si on doit écrire aux > postmaster... > > Merci et bonne année! > > _______________________________________________ > Liste de diffusion du %(real_name)shttp://www.frsag.org/ > > _______________________________________________ > Liste de diffusion du %(real_name)s > http://www.frsag.org/
_______________________________________________ Liste de diffusion du %(real_name)s http://www.frsag.org/
