client-initiated renegotiation

Günther J. Niederwimmer gjn at gjn.priv.at
Do Mär 14 12:50:47 CET 2019


Hallo,

Am Donnerstag, 14. März 2019, 08:51:05 CET schrieb Winfried Neessen:
> Hi,
> 
> On 14. Mar 2019, at 08:19, Andreas Schulze <andreas.schulze at datev.de> wrote:
> > Wie man das ausschaltet muss ich auch gerade passen. Ich vermute aber
> > ebenfalls, via tls_ssl_options.
> Mir ist keine SSL_option bekannt, die nur Client initiierte TLS
> renegotiation ausschaltet. M. W. n. gibt es nur "SSL_OP_NO_RENEGOTIATION"
> um TLS renegotiation komplett zu deaktivieren. Generell bringt das eh nur
> einen Geschwindigkeitsvorteil, wenn man Verbindungen hat, die weite
> Strecken (sprich hoher Roundtrip) hinter sich gelegt haben.
> 
> Mit aktueller Hardware halte ich den DoS Vektor aber auch fuer ueberschaubar
> (acceptable risk).

Ich hatte von dem "Problem" bis jetzt nirgends gelesen, bis ich auf dieser 
Testseite darauf hingewiesen wurde ?

Also Ihr meint man kann es vernachlässigen ?

Was ich noch nicht gefunden habe ist der Sinn / Unsinn diese Parameters 
worüber ich beim suchen gestolpert bin?

smtpd_client_new_tls_session_rate_limit = 0

das ist die Grundeinstellung in postfix, hat der überhaupt was mit dem obigen 
Fall zu tun?

Oder sollte man da einen Wert setzen zb. = 100

Danke für Eure Mithilfe,

-- 
mit freundliche Grüßen / best regards,

  Günther J. Niederwimmer




Mehr Informationen über die Mailingliste Postfixbuch-users