On 24.6.2019 10:05, Peter Rosa wrote:
nejpravdepodobnejsi duvod je, ze mas mnozinu podporovanych
protokolu/sifer/MAC nastavenou tak, ze se vzdalenym serverem nemate
spolecny prunik.
TLS_Srv_features:. Options=+SSL_OP_CIPHER_SERVER_PREFERENCE;
CipherList=HIGH:!ADH:!EXPORT56:!aNULL:!DH:!CAMELLIA:!ECDSA:!kECDHe:!SRP:!PSK:!MD5:-kRSA:@STRENGTH;
TLS_Clt_features:.
CipherList=HIGH:!ADH:!EXPORT56:!aNULL:!DH:!CAMELLIA:!ECDSA:!kECDHe:!SRP:!PSK:!MD5:-kRSA:@STRENGTH
spolocny prienik sifrovacich algoritmov je s najvacsou pravdepodobnostou
presna pricina. Tieto nastavenia su pre mna uplne nove - ja v access z
tychto nastaveni nemam nic...
Muzes je mit i v konfiguraku sendmailu, nebo nikde - pak se pouzije
"default".
OTAZKA - Ako zistim algoritmy, ktore podporuje moj server (FreeBSD 11.2, sendmail 8.15.2 z base, OpenSSL
1.0.2o-freebsd z base)?
Sendmail na tohle nema vliv, cele to je o OPenSSL (ktere sendmail
pouziva) - a to o openssl bazovem (pro pripad, ze mas navic
nainstalovane i OpenSSL z portu.
Co podporuje "defaultne" zjistis pomoci '/usr/bin/openssl ciphers -v'
Co podporuje s konkretni hodnotou 'CipherList" zjistis pomoci (priklad
je pro hodnotu vyse uvedenou):
/usr/bin/openssl ciphers -v
'HIGH:!ADH:!EXPORT56:!aNULL:!DH:!CAMELLIA:!ECDSA:!kECDHe:!SRP:!PSK:!MD5:-kRSA:@STRENGTH'
ešte doplnam CipherList z /etc/mail/sendmail.cf:
O CipherList=HIGH
O ServerSSLOptions=+SSL_OP_NO_SSLv2 +SSL_OP_NO_SSLv3
+SSL_OP_CIPHER_SERVER_PREFERENCE
O ClientSSLOptions=+SSL_OP_NO_SSLv2 +SSL_OP_NO_SSLv3
Ak to dobre chapem, tak sa nema pouzit SSLv2 ani SSLv3 - ani ako klient, ani
ako server.
Ano.
Prosim, ako teda zistim, ktore algoritmy mozem napisat do
SSL_OP_CIPHER_SERVER_PREFERENCE ?
Nerozumim ? SSL_OP_CIPHER_SERVER_PREFERENCE je option. Do nej se nic
(zadne algoritmy) nepisou. Ty ho mas uvedeny, ergo ho mas "zapnuty".
Nechtel ses spis optat jake optiony muzes napsat do
ServerSSLOptions/ClientSSLOptions ? No, treba ty, ktery jsou napsany v
dokumentaci od sendmailu ;-)
Ale v dokumentaci nejsou zdaleka vsechny. Takze pokud chces opravdu
vsechny (a ja mam urcit epochybnosti, ze chces) musis na stroji, na
kterem jsou zdrojaky FreeBSD pustit
grep -R SSL_OP_ /usr/src/contrib/sendmail/src/readcf.c
Doplnil som teda moj access a sucasne som v pro.mc zmenil
LOCAL_CONFIG
O CipherList=HIGH
O ServerSSLOptions=+SSL_OP_NO_SSLv2 +SSL_OP_CIPHER_SERVER_PREFERENCE
O ClientSSLOptions=+SSL_OP_NO_SSLv2
t.j. vyhodil som +SSL_OP_NO_SSLv3 => zrejme som povolil SSLv3.
BTW, nestacilo by povolit SSLv3 iba v ClientOptions, t.j. ked sendmail prijima? S posielanim nebol problem...
ClientOptions se pouzivaji tehdy, kdyz je sendmail v roli klienta - tedy
- odesila. ServerOptions se pouzivaji tehdy, kdyz je sendmail v roli
serveru - tedy - prijima.
Zrejme ste ma teda nasmerovali spravne.
Hlavne, kdyz to funguje.
Ale jeste se vratim k jedne vete:
A prave SSLv3 je kamen urazu - tie servery, ktore mi nedokazu poslat postu sa
preukazuju SSLv3 certifikatom...
To je spatne. SSLvX a TLS vX jsou komunikacni protokoly. V ramci
navazovani SSL (TLS) spojeni muze(!), ale nemusi byt pouzit certifikat
nejakeho typu. Certifikaty mohou byt RSA nebo ECC, nasli bychom mozna i
dalsi kriteria co certifikat muze byt, ale nemohou byt SSL ani TLS.
No, ale tohle nedorozumeni na nalezen reseni evidentne nemelo vliv ;-)
Dan
--
FreeBSD mailing list (users-l@freebsd.cz)
http://www.freebsd.cz/listserv/listinfo/users-l
