-SSLv3 aktuell empfohlene master.cf für TLS ???
Christian Bricart
christian at bricart.de
Mo Okt 27 17:28:05 CET 2014
Am 2014-10-27 16:44, schrieb Joachim Fahrner:
> Am Montag, den 27.10.2014, 14:03 +0100 schrieb Robert Schetterer:
>
>> evtl hilft das
>>
>> https://sys4.de/de/blog/2014/10/21/poodle-bug-postfix-sslv3-deaktivieren/
>>
>
> Mich würde mal interessieren wie denn so ein Angriff überhaupt aussehen
> soll. Meine eigene Verbindung knacken macht wenig Sinn. Jemand der
> einfach nur mitlauscht kann den Handshake auch nicht manipulieren, dazu
> müsste er schon "man-in-the-middle" werden, das kann er aber nur indem
> er das DNS manipuliert. Es müssten also 2 Sicherheitslücken
> zusammentreffen, das halte ich für unrealistisch.
..vorallem stellt sich mir zusätzlich die Frage:
gegen was genau will ich mich denn hier überhaupt genau schützen..?
POODLE ist doch quasi als Man-in-the-Middle bei der Aushandlung der
Verschlüsselung so lange die Antworten kaputt zu machen bis sich die
beiden Systeme sich so weit runtergehangelt haben, dass nur noch SSLv3
als gemeinsame Basis übrig bleibt - was ich als Angreifer erreichen
wollte, weil ich dann einfach(er) mitlauschen kann...
Wenn ich jetzt einer Seite (<- also eben als Admin des Servers) SSLv3
ganz verbiete, dann werden sich doch beide Seiten auf *gar keine*
Verschlüsselung mehr einigen (können) und fallen auf gänzlich
unverschlüsselte Verbindung zurück...
Was ist jetzt daran genau besser als eine "unsichere Verschlüsselung"..?
(natürlich ist die Frage bezogen auf rein opportunistisches TLS und
nicht "enforce", "dane", etc. Und ja! natürlich ist das jetzt genau die
damals verpasste Gelegenheit SSLv3 endlich mit PoC in Rente zu
schicken.. ;-))
Grüsse
Christian
Mehr Informationen über die Mailingliste postfix-users