Re: Postfix Dovecot et SSL : SSL23: unknown protocol

[Thierry Bugier Pineau <bugier.t@gmail.com>]

J'ai fait un test avec le serveur SMTP de gmail :

openssl s_client -connect smtp.gmail.com:995 -debug

et ç a fonctionné. Il y aura une quantité importante d'informations, y compris des dumps d'échanges entre le serveur et le client; l'argument -debug est probablement exagéré pour l'instant.

Ce qui est intéressant avec cette commande est qu'une fois la liaison chiffrée établie, vous aurez l'équivalent d'un telnet sur une liaison "en clair", vous permettant de tester manuellement votre serveur.

En ce qui concerne la désactivation de SSLv3 TLSv1.0 et TLSv1.1, j'ai trouvé ceci

http://www.postfix.org/announcements/postfix-2.9.2.html

https://www.skyminds.net/serveur-dedie-configurer-postfix-et-courier-pour-utiliser-tls-ssl-en-perfect-forward-secrecy/

Attention : le second lien date de 2014 et ne déconseille pas TLS 1.0 et 1.1, il faut adapter les exemples. Je garde ces liens pour mes propres notes, car j'ai moi aussi dégrossi postfix + dovecot il y a quelques temps. J'ai encore mes notes de brouillon d'ailleurs, que je pourrais ressortir pour l'occasion :).

La raison de cette restriction est d'empêcher un client un peu trop vieux de se connecter en négociant un protocole de chiffrement devenu vulnérable, par incapacité à utiliser un protocole encore fiable. Cela dit, c'est un peu hors du sujet. Je pense qu'il faut garder cela pour la touche finale du chiffrement. La openssl s_client aidera de nouveau, pour vérifier l'échec de connection avec des protocoles bannis.

Le dimanche 26 mars 2017 à 20:38 +0200, andre_debian@numericable.fr a écrit :

On Sunday 26 March 2017 19:58:05 Thierry Bugier Pineau wrote:

Merci de me répondre.

> Essayez de diagnostiquer avec openssl
> openssl s_client -connect serveur.org -debug :

La commande me renvoie sur le help de openssl...

> Plus de détail ici à propos de la commande; car il vous faudra peut être 
ajouter quelques arguments selon votre cas :
> https://wiki.openssl.org/index.php/Manual:S_client(1) :

Pas trop d'infos pour la syntaxe de la commande proposée... :-)

> En passant, veillez à bien interdire sslv3 et tls < 1.2 côté serveur :

Comment interdire sslv3 ?
Sinon, j'ai adopté TLS (STARTTLS) et idem, comment interdire  tls < 1.2 ?

Merci,

André
 
> Le 26 mars 2017 19:45:28 GMT+02:00, andre_debian@numericable.fr a écrit :
> >J'ai un serveur postfix + dovecot + ssl.
> >Il marche parfaitement avec le port POP 110,
> >mais pas du tout en mode SSL port 995.
> >Voici ce que me dit "tail /var/log/mail.err" :
> >dovecot: pop3-login: Error: SSL: Stacked error: error:140760FC:SSL 
> >routines:SSL23_GET_CLIENT_HELLO:unknown protocol
> >Mes certifs crt et key semblent bons.
> >J'en ai créés d'autres mais idem.
> >J'ai fouillé via Google, ce message m'apporte des centaines
> >de liens mais aucun ne m'aide.
> >Merci d'une piste...  André
>