Hello,
J'arrive à me connecter aux 2 sur ma Arch et openssl 1.1.1m (le
TrendMicro est TRÈS lent à répondre par contre).
Je constate que le certificat utilisé pour ac-orleans-tours est
autosigné, ce qui devrait déjà être un problème à part entière.
Autrement oui le DH de 1024 bits c'est normal que ça soit refusé,
l'ANSSI recommande 3072 bits minimum (donc 4096 en pratique).
C'est sûrement que la conf par défaut d'OpenSSL est différente selon les
version des distros que tu teste que le résultat diffère.
Pour ta CentOS le trendmicro a du passer car son certificat n'est pas
autosigné contrairement à ac-orleans-tours.
Bon courage pour la suite,
Jarod G.
On 16/01/2022 16:43, Christophe Grenier wrote:
Bonjour
Sous CentOS 8, essayes "update-crypto-policies --set LEGACY"
Il est probable que cela contourne le problème.
Cordialement
------------------------------------------------------------------------
*De :* Juan Isoza <jis...@gmail.com>
*Envoyé :* dimanche 16 janvier 2022 16:29:50
*À :* frsag@frsag.org
*Objet :* [FRsAG] Problème de configuration STARTTLS sur MX
Bonjour,
J'ai des problèmes d'envoi de mail avec deux domaines, suivant l'OS
des serveurs.
Je reproduit le problème de négociation TLS avec "openssl s_client".
Pour les domaines ac-orleans-tour.fr <http://ac-orleans-tour.fr> et
trendmicro.com <http://trendmicro.com>; je lance
openssl s_client -connectmx1.ac-orleans-tours.fr:25
<http://mx1.ac-orleans-tours.fr:25> -starttls smtp
openssl s_client -connectsjdc-itpf-03.udc.trendmicro.com:25
<http://sjdc-itpf-03.udc.trendmicro.com:25> -starttls smtp
Sous Ubuntu 18.04 ou Debian 10, les 2 domaines fonctionnent
Sous Centos 8.4, seul trendmicro fonctionne
Sous Ubuntu 20.04 ou Debian 11; les 2 domaines sont refusé
Tous ces systèmes on des versions openssl basée sur la 1.1.1
Pour ac-orleans-tour, le message suivant apparait:
140117515637376:error:141A318A:SSL routines:tls_process_ske_dhe:dh key too
small:../ssl/statem/statem_clnt.c:2149:
J'aimerais comprendre, et éventuellement savoir si on doit écrire aux
postmaster...
Merci et bonne année!
_______________________________________________
Liste de diffusion du %(real_name)s
http://www.frsag.org/
_______________________________________________
Liste de diffusion du %(real_name)s
http://www.frsag.org/