client-initiated renegotiation

[Winfried Neessen]

Hi,

On 14. Mar 2019, at 08:19, Andreas Schulze <andreas.schulze at datev.de> wrote:
> 
> Wie man das ausschaltet muss ich auch gerade passen. Ich vermute aber ebenfalls, via tls_ssl_options.

Mir ist keine SSL_option bekannt, die nur Client initiierte TLS renegotiation ausschaltet. M. W. n. gibt
es nur "SSL_OP_NO_RENEGOTIATION" um TLS renegotiation komplett zu deaktivieren. Generell
bringt das eh nur einen Geschwindigkeitsvorteil, wenn man Verbindungen hat, die weite Strecken
(sprich hoher Roundtrip) hinter sich gelegt haben.

Mit aktueller Hardware halte ich den DoS Vektor aber auch fuer ueberschaubar (acceptable risk).


Winni
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : signature.asc
Dateityp    : application/pgp-signature
Dateigröße  : 833 bytes
Beschreibung: Message signed with OpenPGP
URL         : <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20190314/d0301cb9/attachment.asc>