Re: Perfect Forward Secrecy (PFS) für die Mehrzahl der Clients

[Werner Flamme]

Andreas Günther schrieb am 24.01.2016 um 17:45:
> Hallo zusammen,
> 
> ich finde diese Methode sehr begrüßenswert 
> 
> http://www.heinlein-support.de/blog/security/perfect-forward-secrecy-pfs-fur-postfix-und-dovecot/
> 
> Allerdings wenn ich das so umsetze - und bei Mailcow 0.13 ist das bereits 
> standardmässig mit dabei - und das für "verschiedene Unternehmen und ISPs", 
> dann sehe ich ernsthafte Probleme mit alten Clients, die ECDHE nicht oder noch 
> nicht unterstützen.

Warum? Übersehe ich in dem Beitrag die Stelle, wo die ECDHE-Ciphers
vorgeschrieben werden?

Ich setze viele SLES 11 ein, genau nach dem beschriebenen Verfahren, und
es klappt bei denen mit DHE, weil deren altes openssl noch kein ECDHE
kann. Clients, die ECDHE können, werden auch so bedient, andere Clients
nehmen eben schwächere Verschlüsselung. Siehe auch den Schlussabsatz des
Beitrags...

Ansonsten: selbst eine schwache Verschlüsselung ist besser als gar keine...

Gruß
Werner
--