Re: Exim und SSLv3.0 in Jessie?

[Dirk Griesbach <spamthis@freenet.de>]

Am Do, 23. Jul 2015 um 23:00:40 +0200 schrieb Heiko Schlittermann:
>     wheezy + Exim 4.86 RC5 (Eigenbau): SSLv3 geht 
>     jessie + Exim 4.84 Debian:         SSLv3 geht NICHT

> Aber welchen Sinn soll das haben? Im vorliegenden Fall führt das dazu,

Sicherheit.

> dass kein TLS zustande kommt und die Mail dann gänzlich ohne Sicherung
> übertragen wird. Wäre SSLv3 verwendet worden, hätten wir wenigstens
> etwas Schutz, gegen die zufälligen Mitlauscher.

Dieses 'etwas Schutz' für diesen einen veralteten Client erkaufst du dir
mit potentieller Angreifbarkeit aller Verbindungen aller anderer
Server/Clients, selbst wenn die besseres als SSLv3 können. SSLv3 ist so
kaputt, dass dessen Einsatz in RFC7568[1] verboten wurde ("[…] SSLv3
MUST NOT be used.  Negotiation of SSLv3 from any version of TLS MUST NOT
be permitted. […]"). Gründe dafür stehen in der RFC.

Oder um es überspitzt zu sagen: Ob dein Client mit SSLv3 oder im
Klartext überträgt, spielt keine Rolle. Allerdings ist Letzteres einfach
ehrlicher und hilft, die Umwelt zu schonen.

Dirk

[1] https://tools.ietf.org/html/rfc7568