apache2.4 und Postfix; mehr ssl/tls magic foo
Moin,
nachdem auf heise.de mal wieder über security un ssl gequakt wurde dacht ich mir ich schau mal eben was der apache2.4 mit nem aktuellen openSSL so alles kann.
tldr:
vim /etc/apache/mods-enabled/ssl.conf
SSLCipherSuite HIGH!aNULL:!MD5
SSLHonorCipherOrder on
SSLProtocol +TLSv1 +TLSv1.1 +TLSv1.2
danach sollte des so ausschauen
wo ich mich noch mit rumschlage ist, dem postfix das bei zu bringen, klar der macht jetz schon TLS/SSL aber da geht wie immer was ;) nach ein wenig suchen habe ich den auch gleich was gefunden, wenn ihr einen aktuellen Postfix 2.9+ mit nem aktuellen openSSL habt, könnt ihr auch TLSv1.1 bzw. TLSv1.2 nutzen.
vim /etc/postfix/main.cf
# TLS parameters
smtp_tls_CAfile = ...
smtpd_tls_cert_file = ...
smtpd_tls_key_file = ....
smtpd_tls_ciphers = high
smtpd_tls_exclude_ciphers = aNULL, MD5, DES, 3DES, DES-CBC3-SHA, RC4-SHA, AES256-SHA, AES128-SHA
smtpd_use_tls =yes
smtp_tls_protocols = !SSLv2, SSLv3, TLSv1, TLSv1.1, TLSv1.2
smtpd_tls_mandatory_protocols = TLSv1
smtp_tls_note_starttls_offer = yes
smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache
smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache
smtpd_tls_auth_only = yes
smtpd_tls_loglevel = 1
smtpd_tls_received_header = yes
smtpd_tls_session_cache_timeout = 7200s
tls_random_source = dev:/dev/urandom
danach postfix noch neustarten
Update 2013-11-07
nachdem bei heise der artikel auftauchte un ssllabs nachgezogen hat auch hier im Tut RC4 entfernt - wer mag kann RC4 noch gesondert raus werfen mit
SSLCipherSuite HIGH!aNULL:!MD5:!RC4