STARTTLS SSLv3

fk+postfix at celebrate.de fk+postfix at celebrate.de
Di Sep 24 11:10:51 CEST 2024


Am 24.09.2024 um 09:59 schrieb Frank Kirschner via Postfixbuch-users:

> Am 24.09.2024 um 09:32 schrieb gnitzsche via Postfixbuch-users:
>>
>> On 2024-09-24 09:01, Frank Kirschner via Postfixbuch-users wrote:
>>
>>>
>>> Am 24.09.2024 um 08:47 schrieb gnitzsche via Postfixbuch-users:
>>>>
>>>> On 2024-09-24 07:43, Frank Kirschner via Postfixbuch-users wrote:
>>>>
>>>>     <-snip->
>>>>
>>>>     Sep 24 06:17:52 farm11 postfix/smtpd[2767072]: warning: TLS
>>>>     library problem: 2767072:error:1408A0C1:SSL
>>>>     routines:ssl3_get_client_hello:no shared cipher:s3_srvr.c:1435:
>>>>
>>>> Denke, das liegt an dem "no shared cipher".
>>>>
>>>> Hier kommt mail1.gothaer.de an mit TLSv1.2 mit Cipher 
>>>> DHE-RSA-AES256-GCM-SHA384 (256/256 bits)
>>>>
>>>> <-snip->
>>>>
>>> Hmm, folgende cipherlist habe ich konfiguriert:
>>>
>>> tls_medium_cipherlist = 
>>> ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384
>>>
>>> <-snip->
>>>
>>> Habe ich irgend etwas falsch angegeben?
>>>
>>
>> postfix sagt dazu:
>>
>> *medium*
>>
>> Enable "MEDIUM" grade or better OpenSSL ciphers. The underlying 
>> cipherlist is specified via the tls_medium_cipherlist 
>> <https://www.postfix.org/postconf.5.html#tls_medium_cipherlist> 
>> configuration parameter, which you are strongly encouraged not to change.
>>
>> *tls_medium_cipherlist (default: see "postconf -d" output)*
>>
>> *..You are strongly encouraged not to change this setting. *
>>
>>
>> openssl s_client -connect farm**.de:25 -starttls smtp -cipher 
>> DHE-RSA-AES256-GCM-SHA384
>>
>> schlägt fehl; mit   ECDHE-ECDSA-AES256-GCM-SHA384 funktioniert es..
>>
>>
>> Ich empfehle, die Konfig für die cipherlist (und evtl. excludes ?) 
>> genau zu prüfen
>>
>> bzw. den Default herzustellen. Mal bei postconf -n gegen den Default 
>> postconf -d die
>>
>> tls-Zeilen genau prüfen.
>>
> Danke Gunther, sehr gute Idee, Folgendes habe ich herausgefunden:
>
> postconf -d
> tls_medium_cipherlist = aNULL:-aNULL:ALL:!EXPORT:!LOW:+RC4:@STRENGTH
>
> postconf -n
> tls_medium_cipherlist = 
> ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384
>
> Ich habe jetzt mal in der Postfix Konfiguration die default 
> tls_medium_cipherlist = aNULL:-aNULL:ALL:!EXPORT:!LOW:+RC4:@STRENGTH 
> aktiviert, leider immer noch das Problem.
>
> Jedoch gibt mir:
> # openssl s_client -connect localhost:25 -starttls smtp -cipher 
> DHE-RSA-AES256-GCM-SHA384
> CONNECTED(00000003)
> 140338129299344:error:14077410:SSL 
> routines:SSL23_GET_SERVER_HELLO:sslv3 alert handshake 
> failure:s23_clnt.c:769:
> ---
> *no peer certificate available*
> ---
> No client certificate CA names sent
>
> einen wertvollen Hinweis. Meine Zertifikate werden mit "tehydrated" 
> von Let's Encrypt erzeugt. Scheinbar fehlen da RSA ciphers. Werde da 
> mal nachforschen.
> Danke für den Hinweis zur Fehlersuche.
>
dehydrated hat die Zertifikate und Schlüssel mit KEY_ALGO=secp384r1 
erstellt, habe das auf KEY_ALGO=rsa geändert und mittels --force neues 
Zertifikat und Schlüssel erstellt, danach Postfix neu geladen.
Leider wird immer noch nicht der Cipher DHE-RSA-AES256-GCM-SHA384 zur 
Verfügung gestellt. Postfix läuft in Version 2.10.1 und openssl mit 1.0.2
-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20240924/4f6697e4/attachment-0001.htm>


Mehr Informationen über die Mailingliste Postfixbuch-users