Re: Postfix Dovecot et SSL : SSL23: unknown protocol : RÉSOLU

[andre_debian@numericable.fr]

On Friday 31 March 2017 20:07:37 Thierry Bugier Pineau wrote:
> De ce que je vois la nouvelle liste n'exclut pas explicitement SSLv3,
> TLSv1.0 et TLSv1.1. Ces trois méthodes de chiffrement sont désormais
> vulnérables.
> Je pense que vous devez inventorier les clients mail qui seront
> utilisés et rechercher pour chacun si ils supportent TLSv1.2. Si c'est
> le cas (ce qui est très probable) alors il faut a jouter !SSLv3,
> !TLSv1.0 et !TLSv1.1 . Je devine que vous avez pris votre liste quelque
> part sur une vieille source non maintenue (elles pulullent et ce mail
> sera obsolète dans quelques mois ou années). 
> En gros, SSL est complètement obsolète et seul TLSv1.2+ reste encore
> valable (de ce que je sais à ce jour).
> Pour tester si SSLv2, v2 et TLS v1.0, 1.1 sont permis, réutilisez la
> commande openssl s_client que j'ai donnée il y a quelques jours et
> ajoutez un argument qui force l'usage d'une méthode de chiffrement.
> Essayez successivement les arguments suivants:

> -ssl2-ssl3-tls1-tls1_1-tls1_2 :
Ou place t-on ces arguments ?

> (https://www.openssl.org/docs/man1.0.1/apps/s_client.html)
> Une bonne configuration fera en sorte que seul -tls1_2 aboutira à une
> connection réussie. Les autres doivent échouer.
> Après il y a le perfect forward secrecy à vérifier, je n'ai pas encore
> la connaissance suffisante à ce sujet mais c'est encore uen question de
> réglage sur le SSL/TLS. (introduction ici :

> https://fr.wikipedia.org/wiki/Confidentialit%C3%A9_persistante :
Erreur 404...

> Peut être que la cipher suite préférée pour mon serveur web sera
> intéressante; je la partage tout à l'heure :

Oui, je veux bien.

@+

André