Perfect Forward Secrecy nun auf www.stacktracer.de

Warum ich so lange gewartet habe, weiß ich auch nicht, aber seit heute spricht mein Postfix brav PFS mit mir. Dank der Anleitung hier: http://www.heinlein-support.de/blog/security/perfect-forward-secrecy-pfs-fur-postfix-und-dovecot/ ist mein Mailverkehr nun erstmal wieder NSA-sicher, so hoffe ich….

Advertisements

9 Kommentare

  1. Frank

    Hi,
    zum Testen wollte ich mal eine Verbindung mit Deinem Mailserver ausprobieren.
    Hier steht zwar nirgends ein Impressum oder die Domain, aber ich vermute mal, dass es wohl stacktracer.de ist.
    Hier bekomme ich mit einer Standardkonfiguration von RHEL 5 keine TLS-Verbindung mit Forward Secrecy hin.
    Client und Server handeln hier ADH-AES256-SHA aus.
    Frank

    • blogofstacktracer

      Danke für den Hinweis, dass scheint nach der Migration auf Debian 7 irgendwie unter die Räder gekommen zu sein. Jetzt sollte es aber wieder gehen

      • Frank

        Nein, es wird immer noch ADH-AES256-SHA ausgehandelt.
        Mein Server handelt mit anderen Mailservern sowohl als Client als auch als
        Server jeweils DHE-Ciphers aus.
        Bei der Simulation der „medium“ Liste von Postfix kommt bei Dir aber nur
        Anonymous DH.

  2. Frank

    Nein, es wird immer noch ADH-AES256-SHA ausgehandelt.
    Mein Server handelt mit anderen Mailservern sowohl als Client als auch als
    Server jeweils DHE-Ciphers aus.
    Bei der Simulation der „medium“ Liste von Postfix kommt bei Dir aber nur
    Anonymous DH.

    • blogofstacktracer

      Dann liegt es verm. an meinem Zertifikat, welches von CAcert signiert ist. Bei mir habe ich nämlich keine Probleme. Da kommt brav:
      New, TLSv1/SSLv3, Cipher is ECDHE-RSA-AES256-GCM-SHA384
      heraus

      • Frank

        *lol* CAcert ist ja Luxus gegenüber meiner Selbstsignierung. 😉

        Nein, es hat nichts mit den Zertifikaten zu tun.
        Es geht allein darum, dass die ADH-Cipher von Dir angeboten wird und von einem „Standard-Postfix“ (bei mir RHEL/Centos 5) als Client ausgewählt wird.
        Ich hatte Deinen Post so verstanden, dass Du NUR Forward Secrecy anbietest, weshalb ich Deinen Server zum Testen „missbraucht“ habe.
        😉

  3. Frank

    *lol* CAcert ist ja Luxus gegenüber meiner Selbstsignierung. 😉

    Nein, es hat nichts mit den Zertifikaten zu tun.
    Es geht allein darum, dass die ADH-Cipher von Dir angeboten wird und von einem „Standard-Postfix“ (bei mir RHEL/Centos 5) als Client ausgewählt wird.
    Ich hatte Deinen Post so verstanden, dass Du NUR Forward Secrecy anbietest, weshalb ich Deinen Server zum Testen „missbraucht“ habe.
    😉

    • blogofstacktracer

      Also ich hab jetzt noch mal getestet (lässt einem ja keine Ruhe), und aufgrund von poodle jetzt noch mal einige Sachen angepasst.
      Andere Server handeln mit mir jetzt brav ECDHE… aus
      TLSv1 with cipher ECDHE-RSA-AES256-SHA (256/256 bits)

      • Frank

        Ich habe ja nicht behauptet, dass Dein Server kein ECDHE kann. Ich habe nur gesagt, dass es Server gibt, die Forward Secrecy unterstützen, bei die aber nur ADH erhalten.
        Um das wirklich zu testen musst Du halt alle Ciphers durchgehen. Hier der Test mit der „medium“-Liste von Postfix auf RHEL 5:

        $ SSLCipherSuite=$(openssl ciphers ‚!EXPORT:!LOW:ALL:+RC4:@STRENGTH’|tr „:“ “ „) ./ssltest.sh 85.214.100.62 25 smtp
        ADH-AES256-SHA: YES
        DHE-RSA-AES256-SHA: YES
        DHE-DSS-AES256-SHA: NO (sslv3 alert handshake failure)
        AES256-SHA: YES
        KRB5-DES-CBC3-MD5: NO (no ciphers available)
        KRB5-DES-CBC3-SHA: NO (no ciphers available)
        ADH-DES-CBC3-SHA: YES
        EDH-RSA-DES-CBC3-SHA: YES
        EDH-DSS-DES-CBC3-SHA: NO (sslv3 alert handshake failure)
        DES-CBC3-SHA: YES
        DES-CBC3-MD5: NO (sslv3 alert handshake failure)
        ADH-AES128-SHA: YES
        DHE-RSA-AES128-SHA: YES
        DHE-DSS-AES128-SHA: NO (sslv3 alert handshake failure)
        AES128-SHA: YES
        RC2-CBC-MD5: NO (sslv3 alert handshake failure)
        KRB5-RC4-MD5: NO (no ciphers available)
        KRB5-RC4-SHA: NO (no ciphers available)
        ADH-RC4-MD5: YES
        RC4-SHA: YES
        RC4-MD5: YES
        RC4-MD5: YES

        Der erste von dieser Liste wird direkt ausgewählt: ADH

        BTW – vielleicht ist das ja auch gar nicht Dein Server und ich schreibe hier nur peinliche Postings. 😉

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s