我有一个dovecot服务器运行,强制执行TLS1.2
ssl_protocols = !SSLv2 !SSLv3 !TLSv1 !TLSv1.1 TLSv1.2
这曾经工作得很好,直到有人试图与iPhone连接,抱怨服务器没有响应,我看到服务器上的日志消息:
imap-login: Error: SSL: Stacked error: error:140760FC:SSL routines:SSL23_GET_CLIENT_HELLO:unknown protocol
我发现如果我允许TLSv1 ,它就可以正常工作。 这是真的吗? 我发现其他人抱怨这件事( http://www.clift.org/fred/frustration-with-apple-mail-app-on-ios-and-yosemite.html ),但我真的不能相信。 请告诉我,我错过了一些明显的东西。 TLSv1.2仅支持特殊的密码吗?
这是我完成sslconfiguration:
$ egrep -v "^#|^$" /etc/dovecot/conf.d/10-ssl.conf ssl = yes ssl_cert = </etc/ssl/my_certs/mail.xyz.tld.crt ssl_key = </etc/ssl/my_certs/mail.xyz.tld.key ssl_dh_parameters_length = 2048 ssl_protocols = !SSLv2 !SSLv3 !TLSv1 !TLSv1.1 TLSv1.2 ssl_cipher_list = ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!3DES:!MD5:!PSK ssl_prefer_server_ciphers = yes
请有人叫醒我,告诉我这是一个噩梦…
谢谢你的帮助!
我希望我能捏你来唤醒你,但可悲的是,这不是一个梦想。 iOS邮件应用程序不能比TLSv1稍后说TLS。 甚至没有1.1(这是由PCI确定的)苹果真的放弃了这一球。 邮件应用程序支持SMTP的TLS1.1和1.2,但不支持POP3或IMAP。 看起来好像人们一直抱怨苹果至less一年,但迄今为止没有效果。