[Dovecot-de] dovecot 2.2.18 and ssl_parameters_regenerate

Matthias Doering matthias.doering at mldsc.de
Di Jun 2 17:07:34 CEST 2015


ja btw.

Das ist auch ne Sache die mich interessiert. Wie testet Ihr z.B. 
Zertifikatsthematiken. Für Webserver ist ssllabs super.
Kennt jemand ein äquivalent dafür für Mailserver der alle Ports prüft 
die relevant sind? Wenn nein. Wie macht Ihr das?

nmap --script ssl-enum-ciphers -p 25 example.com. Natürlich muss man 
hier wieder das Ergebnis bewerten können. Sowas wie ssllabs wäre hier 
schon smooth. :-)


Am 02.06.2015 um 16:43 schrieb Django [BOfH]:
> Griasde Alexander,
>
> Am 02.06.2015 um 15:10 schrieb Alexander Stoll:
>
>> *hmmpf* Exkurs: es ging mir nicht darum mit dem Finger auf Dich zu
>> zeigen ;-)
> Ach zeig nur, ich kann das ab. :) Solange nicht wieder Peer direkt bei
> mir anklopft ist mir alles wurscht ...
>
>> Grundsätzlich scheint mir die Reaktion auf Logjam in der Mehrheit eher
>> von reflexhaftem Aktionismus geprägt zu sein und nicht aufgrund
>> ausreichendem Verständnis für die extrem komplexen Zusammenhänge.
> Aktuelle Sicherheitslücken wie Logjam nutze ich immer, mir Gedanken zu
> machen, ob ich das richtige richtig tue. So bin ich bei Dovecot ja auf
> den Umstand gestoßen, dass nicht wie in Timos Doku steht 1x pro Woche
> entsprechende DH-Parameter neu ausgehandelt werden, sonder eben nix
> passiert. Bei den Webservern habe ich mich Dank Logjam in Sachen wie
> OCSP (stapling), SPDY, HPKP oder HSTS einzuarbeiten.
>
> Ich versuche für mich immer zu verstehen, warum was wie funktioniert und
> wie ich es anstellen muss, wie ich zu meinem gewünschten Ziel komme.
>
>> Irgendwie hat bisher niemand in transparenter Weise dargestellt und
>> nachvollziehbar gemacht, was die zyklische Neugenerierung der Parameter
>> so ganz konkret bringt, vor allem im Kontext zu anderen Größen, die auf
>> die Sicherheit einer Verbindung Einfluss haben.
> Also Andreas's Argumentation von hier teile ich mal grundsätzlich:
> https://andreasschulze.de/dovecot/ssl-params
> Wo bei natürlich ein entsprechender Nachweis, ala ssllabs.com mich schon
> sehr interessieren würde.
>
>> Anbetracht der extremen "Kosten" (CPU), die vor allem kleine Systeme
>> trifft (schon mal getestet wie lange n Raspi dazu braucht? ;-) )
>> verwundert mich das.
> Also ich mach ja auch viele verrückte Sachen, aber 'nen MTA oder MDA auf
> 'nen Raspi zu packen, ist selbst mir zu krass und abwegig. Da bin ich
> eher einer von der Sorte, nicht kleckern sondern ordendlich ranklotzen.
>
>> Natürlich muss man nicht diskutieren, dass der zyklische Wechsel bei
>> einem inhärent für Precomputation Attacks anfälligen Verfahren ohne
>> Zweifel statistisch gesehen irgendwelche Vorteile bringt, nur, wie
>> fallen die ganz konkret im "Real Life" gegenüber den anderen Stellgrößen
>> aus?
> Gute und berechtigte Frage, ich hoffe ich bin nach dem Durchackern der
> Thematik halbwegs in der Lage, mir hierzu entsprechende Antworten zu geben.
>
>> Ich habe mich nur mühsamst in die Materie eingelesen, bemüht die
>> Gesamtproblematik nachzuvollziehen und eben Probleme, nach meiner
>> eigenen Abschätzung und Ummünzen in reale Rezepte ...
> Da sind wir uns vermutlich ziemlich ähnlich.
>
>> Gerne darf jemand mit entsprechendem Fachwissen versuchen eine
>> nachvollziehbare Risikobewertung/Auswirkung, vor allem auch in Relation
>> zu anderen Parametern (Wahl der Ziffer, Güte der Entropie, etc.)
>> gegenüberzustellen, das fände ich ungeheuer erhellend und hilfreich!
> FULLACK! Also Peer, P at rick & Co raus aus der Versenkung und lass uns
> nicht dumm sterben! ;)
>
>
> Servus
> Django

-- 
Mit freundlichen Grüßen

Matthias Döring



Mehr Informationen über die Mailingliste Dovecot