Re: Exim und SSLv3.0 in Jessie?
Am Do, 23. Jul 2015 um 23:00:40 +0200 schrieb Heiko Schlittermann:
> wheezy + Exim 4.86 RC5 (Eigenbau): SSLv3 geht
> jessie + Exim 4.84 Debian: SSLv3 geht NICHT
> Aber welchen Sinn soll das haben? Im vorliegenden Fall führt das dazu,
Sicherheit.
> dass kein TLS zustande kommt und die Mail dann gänzlich ohne Sicherung
> übertragen wird. Wäre SSLv3 verwendet worden, hätten wir wenigstens
> etwas Schutz, gegen die zufälligen Mitlauscher.
Dieses 'etwas Schutz' für diesen einen veralteten Client erkaufst du dir
mit potentieller Angreifbarkeit aller Verbindungen aller anderer
Server/Clients, selbst wenn die besseres als SSLv3 können. SSLv3 ist so
kaputt, dass dessen Einsatz in RFC7568[1] verboten wurde ("[…] SSLv3
MUST NOT be used. Negotiation of SSLv3 from any version of TLS MUST NOT
be permitted. […]"). Gründe dafür stehen in der RFC.
Oder um es überspitzt zu sagen: Ob dein Client mit SSLv3 oder im
Klartext überträgt, spielt keine Rolle. Allerdings ist Letzteres einfach
ehrlicher und hilft, die Umwelt zu schonen.
Dirk
[1] https://tools.ietf.org/html/rfc7568
Reply to: