AW: ciphers gehen plötzlich nicht mehr
> gabs evtl. openssl-Updates / wurden da eingespielt? > Sowas ist im Abgleich last vs. Dpkg.log eben nicht auffällig. > Für sowas empfiehlt sich "needrestart" mit den entsprechenden apt- > Hier rennt dann einmal ansible über die Kisten und verteilt das wildcard bis in die M$-Welt hinein. Der public key im bisherigen Zertifikat war irgendwas mit RSA und 4kBit groß, jetzt im neuen ist das irgendwas mit EC/ED und nur 384Bit. Ich habe mir von mozilla für meine Dienste einfach aktuelle "medium" Empfehlungen geholt und die "eingebaut". Jetzt rennen alle Dienste wieder und die Clients weinen nicht mehr. Nur restlos verstanden habe ich den Hokus-Pokus nicht. Es hat ja nach immer das neue Zertifikat, die bis dato funktionierenden Ciphers "ungültig" gemacht. Mit freundlichen Grüßen / Kind regards Ronny Seffner
Re: ciphers gehen plötzlich nicht mehr
Hallo Ronny, gabs evtl. openssl-Updates / wurden da eingespielt? Wenn danach die daran hängenden (Mailserver)dienste nicht neugestartet werden, können diese erfahrungsgemäß durchaus im laufenden Betrieb mit solchen Fehlerbildern auseinanderfallen. Wenn Zertifikate getauscht werden, sollten die Dienste logischerweise auch neugestartet werden. Für sowas empfiehlt sich "needrestart" mit den entsprechenden apt- hooks. Das hat zwar auch paar Macken / liegt nicht immer richtig, idR tuts aber den Job. Grüße, Falk On Thu, 2023-03-16 at 12:06 +0100, ro...@seffner.de wrote: > Hallo Liste, > > ich begreifs gerade nicht ... > > gegeben: > - 2 Server, Debian 11 + openssl + dovecot + postfix > - 10-ssl.conf von beiden dovecots md5 identisch > - /etc/ssl/openssl.cnf auf beiden Kisten md5 identisch > - main.cf auf beiden Kisten an den SSL-Parametern identisch, auch das > gleiche wildcard Zertifikat im Einsatz > - dpkg -l auf beiden Kisten identisch > > Ohne Login (last) und ohne reboot sowie mit dovecot und postox- > Diensten, die > laut 'ps' seit 13.3. laufen, können wir seit gestern 22:30 Uhr rum > mit der > einen Kiste kein POP3s, IMAPs, SMTP_TLS mehr machen wegen "no shared > cipher". > Ich habe bei postfix und dovecot nun von der, durch mich > eingegrenzten, > ciper-Auswahl auf die defaults gewechselt und es geht wieder. > Ja es war M$-Patchday, aber auch thunderbird, ungepatchte > Windos/Outlook und > fetchmail sind als Clients betroffen. > > Was kann dem dem postfix/dovecot-openssl-Stack fehlen, dass plötzlich > die > ciphers nicht mehr "da" sind? Die identische Konfiguration geht ja > auf dem > zweiten Server. Ideen? > > > Mit freundlichen Grüßen / Kind regards > Ronny Seffner >
UPD: ciphers gehen plötzlich nicht mehr
Da lief ein acme-cron-script, welches das wildcard-Zertifiakt neu beantragt (aber noch nicht auf den zweiten Server ausgerollt) hat. Damit weiß ich schonmal, wer/was zur gegebene Zeit am Server "rumgepopelt" hat. Konkretisiert sich die Frage auf : was hat das Zertifikat mit den einsetzbaren Ciphers zu tun? Was kann ich tun um ein Zertifikat zu erhalten, welches wieder mit "meiner" Cipher-Auswahl tut? Mit freundlichen Grüßen / Kind regards Ronny Seffner
ciphers gehen plötzlich nicht mehr
Hallo Liste, ich begreifs gerade nicht ... gegeben: - 2 Server, Debian 11 + openssl + dovecot + postfix - 10-ssl.conf von beiden dovecots md5 identisch - /etc/ssl/openssl.cnf auf beiden Kisten md5 identisch - main.cf auf beiden Kisten an den SSL-Parametern identisch, auch das gleiche wildcard Zertifikat im Einsatz - dpkg -l auf beiden Kisten identisch Ohne Login (last) und ohne reboot sowie mit dovecot und postox-Diensten, die laut 'ps' seit 13.3. laufen, können wir seit gestern 22:30 Uhr rum mit der einen Kiste kein POP3s, IMAPs, SMTP_TLS mehr machen wegen "no shared cipher". Ich habe bei postfix und dovecot nun von der, durch mich eingegrenzten, ciper-Auswahl auf die defaults gewechselt und es geht wieder. Ja es war M$-Patchday, aber auch thunderbird, ungepatchte Windos/Outlook und fetchmail sind als Clients betroffen. Was kann dem dem postfix/dovecot-openssl-Stack fehlen, dass plötzlich die ciphers nicht mehr "da" sind? Die identische Konfiguration geht ja auf dem zweiten Server. Ideen? Mit freundlichen Grüßen / Kind regards Ronny Seffner
