服务器 Gind.cn
  1. 服务器 Gind.cn
  3. 无法在courier-imap中禁用SSL
Intereting Posts
无法将ESXi 5的中断更新完成到U2 TortoiseSVN和腻子的问题 在IE8中使用runas 如何恢复备份qmail中的电子邮件文件 监测互联网骨干stream量的方法 获取驱动器电源状态而不会唤醒它 mount:错误的fstypes,错误的选项,在CentOS 6.0上的/ dev / sdb上的坏的超级块 更新networkingpipe理器的版本 与在IIS7上运行的域别名进行安全连接 VM实例不能通过浮动IP访问 build立时索引可以使用现有的索引 如何rsync符号链接和他们的指示,但保留链接 在Varnish之前的Nginx有时会产生“从上游读取响应头时出现上游过早closures连接”的错误 除了“解压”之外,还有其他的解压缩文件的select吗? 将网站迁移到新服务器的DNS问题

无法在courier-imap中禁用SSL

我无法在courier-imap中禁用SSLv2 \ v3。

在imapd-sslconfiguration我有以下内容: 

TLS_CIPHER_LIST="ALL:!SSLv2:!SSLv3:!ADH:!NULL:!EXPORT:!DES:!LOW:@STRENGTH"

据说,对于openssl来说 – 这个条目禁用了SSL 

 [root@a10-52-79-181 ~]# openssl ciphers -v 'ALL:!SSLv2:!SSLv3:!ADH:!NULL:!EXPORT:!DES:!LOW:@STRENGTH' ECDHE-RSA-AES256-GCM-SHA384 TLSv1.2 Kx=ECDH Au=RSA Enc=AESGCM(256) Mac=AEAD ... and rest of output is only related to TLS, nothing for SSL

到目前为止 – 看起来不错。 但… 

 openssl s_client -connect localhost:993 -ssl3 | grep "Protocol" Protocol : SSLv3

相同的“-ssl2”。 信使多次重新启动 – 没有帮助。 如果我们运行openssl而不指定密码 – 正确使用TLS。 但是如何最终禁用SSL?

注 – 我不想更改TLS_CIPHER_LIST – 我想了解,为什么它看起来是正确的,但不按预期工作?

正如@ Steffen-ulrich在评论中已经指出的那样,您只是禁用了密码列表中的SSLv3 密码 。 SSLv3密码和SSLv3协议与禁用密码相关,但不相同,不禁用协议。 并禁用协议,不会禁用密码。

要在dovecot中禁用SSL,请使用以下命令: 

 ssl_protocols = !SSLv3 !SSLv2

另外,我不知道名为tls_cipher_list的参数,但是有ssl_cipher_list 。 我也鼓励你设置ssl_prefer_server_ciphers = yes并在密码列表中给出密码的首选项,正如Bettercrypto.org在Applied Crypto Hardening中的build议: 

 # SSL protocols to use ssl_protocols = !SSLv3 !SSLv2 # SSL ciphers to use ssl_cipher_list = EDH+CAMELLIA:EDH+aRSA:EECDH+aRSA+AESGCM:EECDH+aRSA+SHA384:EECDH+aRSA+SHA256:EECDH:+CAMELLIA256:+AES256:+CAMELLIA128:+AES128:+SSLv3:!aNULL:!eNULL:!LOW:!3DES:!MD5:!EXP:!PSK:!DSS:!RC4:!SEED:!ECDSA:CAMELLIA256-SHA:AES256-SHA:CAMELLIA128-SHA:AES128-SHA # Prefer the server's order of ciphers over client's. ssl_prefer_server_ciphers = yes