centos:mail_c7:dovecot_4

Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen Revision Vorhergehende Überarbeitung
Nächste Überarbeitung		 Vorhergehende Überarbeitung
centos:mail_c7:dovecot_4 [10.06.2015 05:44. ] – [Diffie-Hellmann-Verfahren und Perfect Forward Secrecy] djangocentos:mail_c7:dovecot_4 [22.07.2019 14:48. ] (aktuell) – [Links] django
Zeile 141: Zeile 141:
 </code> </code>
  
-==== Cipher-Suites und Diffie-Hellmann ====+==== Cipher-Suites und Diffie-Hellman ====
 Möchte man in Erfahrung bringen, welche Cipher-Suites((Sammlung von standardisierten kryptographischer Algorithmen)) unser installiertes OpenSSL-Paket mitbringt, können wir wie folgt abfragen((Ausgabe in formatierter Tabelle)). Möchte man in Erfahrung bringen, welche Cipher-Suites((Sammlung von standardisierten kryptographischer Algorithmen)) unser installiertes OpenSSL-Paket mitbringt, können wir wie folgt abfragen((Ausgabe in formatierter Tabelle)).
    # openssl ciphers -v    # openssl ciphers -v
Zeile 1443: Zeile 1443:
 #          Won't work since dovecot 2.2! #          Won't work since dovecot 2.2!
 #          Update ssl_dh_parameters_length with script dh-params #          Update ssl_dh_parameters_length with script dh-params
-#          https://dokuwiki.nausch.org/doku.php/centos:mail_c7:dovecot_4?&#diffie-hellmann-verfahren_und_perfect_forward_secrecy+#          https://dokuwiki.nausch.org/doku.php/centos:mail_c7:dovecot_4?&#diffie-hellman-verfahren_und_perfect_forward_secrecy
  
 # SSL protocols to use # SSL protocols to use
Zeile 1466: Zeile 1466:
 Über den Paramter **ssl** kann man steuern, ob **SSL/TLS** nun verwendet werden kann, oder ob es verwendet werden muss, oder eben nicht. Wir lassen den Default-Wert //**required**// stehen, was bedeutet, dass den Clients **SSL/TLS** als **zwingend vorgeschrieben** ist. Ein //**yes**// setzt die Transportverschlüsselung als **optional** und ein //**no**//  **deaktiviert** die Transportverschlüsselung gar ganz, aber wer will das seinen Endkunden in Zeiten vob **NSA**, **BND** und **Tempora** noch guten Gewissens verkaufen?  Über den Paramter **ssl** kann man steuern, ob **SSL/TLS** nun verwendet werden kann, oder ob es verwendet werden muss, oder eben nicht. Wir lassen den Default-Wert //**required**// stehen, was bedeutet, dass den Clients **SSL/TLS** als **zwingend vorgeschrieben** ist. Ein //**yes**// setzt die Transportverschlüsselung als **optional** und ein //**no**//  **deaktiviert** die Transportverschlüsselung gar ganz, aber wer will das seinen Endkunden in Zeiten vob **NSA**, **BND** und **Tempora** noch guten Gewissens verkaufen? 
  
-=== Diffie-Hellmann-Verfahren und Perfect Forward Secrecy  ===+=== Diffie-Hellman-Verfahren und Perfect Forward Secrecy  ===
 Wie am Anfang des Artikels bereits angeschnitten, basiert Perfect Forward Secrecy (**PFS**) auf der Idee, dass Client und Server ihre Kommunikation über einen zusätzlichen temporären Schlüssel absichern, der wechselt.  Wie am Anfang des Artikels bereits angeschnitten, basiert Perfect Forward Secrecy (**PFS**) auf der Idee, dass Client und Server ihre Kommunikation über einen zusätzlichen temporären Schlüssel absichern, der wechselt. 
  
Zeile 1488: Zeile 1488:
  
 <file bash /etc/dovecot/ssl-params.conf># Django : 2015-06-09 <file bash /etc/dovecot/ssl-params.conf># Django : 2015-06-09
-#          Länge der Diffie-Hellmann-Parameter, diese muss der Länge des privaten RSA-Schlüssels entsprechen+#          Länge der Diffie-Hellman-Parameter, diese muss der Länge des privaten RSA-Schlüssels entsprechen
 ssl_dh_parameters_length = 4096 ssl_dh_parameters_length = 4096
 # #
-#          Speicherort der Diffie-Hellmann-Parameter-Datei ssl-parameters.dat+#          Speicherort der Diffie-Hellman-Parameter-Datei ssl-parameters.dat
 state_dir = /var/lib/dovecot/tmp state_dir = /var/lib/dovecot/tmp
 </file> </file>
Zeile 1538: Zeile 1538:
    # less /var/log/maillog    # less /var/log/maillog
  
-<code>Jun  9 20:08:31 vml000077 dovecot: ssl-params(4526): renewed diffie-hellman parameters 4096bit +  Jun  9 20:08:31 vml000077 dovecot: ssl-params(4526): renewed diffie-hellman parameters 4096bit 
-Jun  9 20:08:31 vml000077 dovecot: master: Warning: SIGHUP received - reloading configuration</code>+  Jun  9 20:08:31 vml000077 dovecot: master: Warning: SIGHUP received - reloading configuration
  
  
Zeile 1873: Zeile 1873:
  
 ==== cipherscan ==== ==== cipherscan ====
-FIXME +Zum Überprüfen welche Chiffren vom Server angeboten und unterstützt werden, greifen wir auf das Tool **[[https://github.com/jvehent/cipherscan|cipherscan]]** von [[julien@linuxwall.info|Julien Vehent]] und [[hkario@redhat.com|Hubert Kario]] zurück. Das Projekt basiert auf den openssl-Bibliotheken und wird auf [[https://github.com|GitHub]] zur Verfügung gestellt.
- +
-https://github.com/jvehent/cipherscan+
  
 +Mit nachfolgendem Aufruf kann überprüft werden, welche Ciphers angeboten werden.
    # /usr/local/src/cipherscan-master/cipherscan -o /usr/local/src/cipherscan-master/openssl --curves -starttls imap imap.nausch.org:143    # /usr/local/src/cipherscan-master/cipherscan -o /usr/local/src/cipherscan-master/openssl --curves -starttls imap imap.nausch.org:143
  
Zeile 1906: Zeile 1905:
 Curves fallback: False Curves fallback: False
 </code> </code>
 +
 +Die Bewertung der einzelnen Chiffren müssen wir hier immer noch selbst vornehmen; hilfreiche Informationen hierzu findet man z.B. im Buch **//[[https://www.feistyduck.com/books/bulletproof-ssl-and-tls/|BULLETPROOF SSL AND TLS]]//** von **[[http://blog.ivanristic.com/|Ivan Ristić]]**.
 +
 +
  
 ====== Links ====== ====== Links ======
Zeile 1911: Zeile 1914:
   * **[[wiki:start|Zurück zu >>Projekte und Themenkapitel<<]]**   * **[[wiki:start|Zurück zu >>Projekte und Themenkapitel<<]]**
   * **[[http://dokuwiki.nausch.org/doku.php/|Zurück zur Startseite]]**   * **[[http://dokuwiki.nausch.org/doku.php/|Zurück zur Startseite]]**
- 
-~~DISCUSSION~~ 
- 
  
  • centos/mail_c7/dovecot_4.1433915050.txt.gz
  • Zuletzt geändert: 10.06.2015 05:44.
  • von django