TLSv1 abschalten

Markus Schönhaber postfix-users-de at list-post.mks-mail.de
Sa Okt 30 14:42:14 CEST 2021


30.10.21, 10:35 +0200, Markus Winkler:

> Ich persönlich tendiere jedenfalls schon dazu, dass man den Betreibern der
> Empfängerserver mittlerweile die Freiheit geben sollte, eben auch nur
> verschlüsselte Übertragungswege akzeptieren zu wollen.

Jeder kann natürlich (schon immer) seinen Server so konfigurieren, wie 
sie es für richtig hält. Wer keine unverschlüsselt eingelieferte Mail 
mehr annehmen will, soll das eben lassen.
Ich bleibe allerdings dabei: Ich sehe keinen Sicherheitsgewinn darin, 
TLSv1 abzuschalten.

BTW: Lustigerweise gibt es gerade heute auf der englischen Postfix-Liste 
eine ähnliche Diskussion. Ich zitiere mal[1]:

30.10.21, 07:57 +0200, Viktor Dukhovni:
 > On Fri, Oct 29, 2021 at 10:39:50PM -0700, Dan Mahoney wrote:
 >> I'm just going by the way ssllabs seems to score things for HTTPS,
 >> which seems to be where a lot of these cipher recommendations are
 >> based.  You're still supporting TLS1.1?  NOT WORTHY.
 >
 > The crypto maximalists are misguided.  We need *widely-used* crypto
 > more than we need ludicrously storng crypto, especially if it is
 > ludicrously strong or else NOTHING.  See RFC7435.

[1]: https://marc.info/?l=postfix-users&m=163557349520026&w=2

Natürlich ändert das nichts an "Dein Server - Deine Regeln". Aber 
jemand, der sich fragt, ob er gewisse Postfix-Defaults ändern oder 
Verschlüsselungsprotokolle abschalten soll, ist m. E. verdammt gut 
beraten, Viktors Meinung nicht zu ignorieren, sondern zumindest in 
Betracht zu ziehen.

-- 
Gruß
   mks


Mehr Informationen über die Mailingliste postfix-users