[Postfixbuch-users] SSLv3
Winfried Neessen
wn at neessen.net
Mo Okt 20 14:28:43 CEST 2014
Hi,
Am 2014-10-20 14:21, schrieb Igor Sverkos:
> Erkläre mir bitte, wieso Du (=Server) mich (=Client) glaubst zwingen
> zu müssen, auf SSLv3 oder irgendeinen TLS-Cipher den du nicht magst,
> verzichten zu müssen.
>
Ganz einfach. Weil ich, als Betreiber eines Dienstesm es im Zweifel
meist besser
weiss als der Endkunde. Ich arbeite im E-Commerce und ich bin mir
sicher, dass
90% unserer Kunden nichtmal wissen was SSL bedeutet- geschweige denn,
dass sie
wissen welcher Cipher oder welches Protokoll sicher ist. Als Anbieter
des
Dienstes sehe ich es als meine Pflicht, meinen Kunden zu schuetzen, in
dem ich
Protokolle oder Cipher nicht akzeptiere die als unsicher einzustufen
sind.
Ich kann nicht von meinem Kunden erwarten, dass sie dieses Fachwissen
haben.
Sicherlich ist das auch 'ne Sache des Client-Herstellers (in diesem Fall
also
Browser Hersteller), wenn ich dann aber sehe, dass einige Kunden noch
immer mit
'nem IE8 und Windows Vista am Start sind, koennen auch die da nur
begrenzt
etwas unternehmen. Im Endeffekt ist also das Nichtakzeptieren der
unsicheren
Protokolle/Cipher auf Server-Seite die einzig effektive und sichere
Loesung.
Winni
Mehr Informationen über die Mailingliste Postfixbuch-users