Re: [postfix-users] Forward Secrecy

Wed, 14 Aug 2013 04:56:25 -0700 

Am 14.08.2013 13:43, schrieb Jochen Fahrner via postfix-users:
> Am 14.08.2013 13:02, schrieb Ralf Hildebrandt:
>> Also ich suche so:
>>
>> ECDHE (elliptic curve diffie hellman ephemeral):
>>
>> # zegrep "TLS connection established from.*with cipher.*ECDHE" 
>> /var/log/OLD/2013-08-*/mail.log*  | awk '{printf("%s %s %s %s\n", $12, $13, 
>> $14, $15)}' | sort | uniq -c | sort -n
>>     18 SSLv3 with cipher ECDHE-RSA-AES256-SHA
>>  13523 TLSv1 with cipher ECDHE-RSA-AES256-SHA
>>  17201 TLSv1 with cipher ECDHE-RSA-AES128-SHA
>>  27290 TLSv1 with cipher ECDHE-RSA-RC4-SHA
>>
>> Bei denen handelt es sich primär um Google, Freenet, Web.de und GMX.
> 
> Mit EHCDHE habe ich gar nichts. Ich habe nur folgende:
>       6 TLSv1 with cipher DHE-RSA-AES128-SHA
>      26 TLSv1 with cipher RC4-MD5
>      30 TLSv1 with cipher RC4-SHA
>     184 TLSv1 with cipher AES256-SHA
>     218 TLSv1 with cipher DHE-RSA-AES256-SHA
>     404 TLSv1 with cipher ADH-AES256-SHA
> 
> Da muss ich wohl noch dran arbeiten.

so wie ich das verstanden habe muesste DHE auch ausreichen
EHCDHE ist extended per se schneller

http://vincent.bernat.im/en/blog/2011-ssl-perfect-forward-secrecy.html

Because the Diffie-Hellman exchange described above always uses new
random values ·a· and ·b·, it is called Ephemeral Diffie-Hellman (EDH or
DHE). Cipher suites like DHE-RSA-AES128-SHA use this protocol to achieve
perfect forward secrecy1.

Using ECDHE-RSA-AES128-SHA cipher suite (with P-256 for example) is
already a huge speed improvement over DHE-RSA-AES128-SHA thanks to the
reduced size of the various parameters involved.

> 
> 
>> Ich nutze:
>>
>> smtpd_tls_protocols = !SSLv2, !TLSv1.1, !TLSv1.2
>> smtp_tls_protocols  = !SSLv2, !TLSv1.1, !TLSv1.2
> 
> Wozu ist das gut Protokolle auszuschliessen?
> 
> 

SSLv2 ist wohl per se kapput, die anderen haben wohl auch noch Macken


Best Regards
MfG Robert Schetterer

-- 
[*] sys4 AG

http://sys4.de, +49 (89) 30 90 46 64
Franziskanerstraße 15, 81669 München

Sitz der Gesellschaft: München, Amtsgericht München: HRB 199263
Vorstand: Patrick Ben Koetter, Axel von der Ohe, Marc Schiffbauer
Aufsichtsratsvorsitzender: Florian Kirstein
_______________________________________________
postfix-users mailing list
postfix-users@de.postfix.org
http://de.postfix.org/cgi-bin/mailman/listinfo/postfix-users

Antwort per Email an