[Postfixbuch-users] SSLv3

[Winfried Neessen]

Hi,

Am 2014-10-20 14:21, schrieb Igor Sverkos:

> Erkläre mir bitte, wieso Du (=Server) mich (=Client) glaubst zwingen
> zu müssen, auf SSLv3 oder irgendeinen TLS-Cipher den du nicht magst,
> verzichten zu müssen.
> 

Ganz einfach. Weil ich, als Betreiber eines Dienstesm es im Zweifel 
meist besser
weiss als der Endkunde. Ich arbeite im E-Commerce und ich bin mir 
sicher, dass
90% unserer Kunden nichtmal wissen was SSL bedeutet- geschweige denn, 
dass sie
wissen welcher Cipher oder welches Protokoll sicher ist. Als Anbieter 
des
Dienstes sehe ich es als meine Pflicht, meinen Kunden zu schuetzen, in 
dem ich
Protokolle oder Cipher nicht akzeptiere die als unsicher einzustufen 
sind.

Ich kann nicht von meinem Kunden erwarten, dass sie dieses Fachwissen 
haben.
Sicherlich ist das auch 'ne Sache des Client-Herstellers (in diesem Fall 
also
Browser Hersteller), wenn ich dann aber sehe, dass einige Kunden noch 
immer mit
'nem IE8 und Windows Vista am Start sind, koennen auch die da nur 
begrenzt
etwas unternehmen. Im Endeffekt ist also das Nichtakzeptieren der 
unsicheren
Protokolle/Cipher auf Server-Seite die einzig effektive und sichere 
Loesung.



Winni