Re: [swinog] openssl 1.1.1c and too short DH key on @bluewin.ch

2019-07-17 Diskussionsfäden Klaus Ethgen 
Hi Woody,

Am Mi den 17. Jul 2019 um  9:11 schrieb Benoît Panizzon:
> If you also noticed emails not being delivered anymore to @bluewin
> after uprading to Debian Buster or and other system with newer openSSL
> libraries.
> 
> This is due to new versions of openSSL not accepting DH keys shorter
> than 1024 to counter the logjam attack.

Ach, das ist ja nix neues. Deswegen (mit unserem Mailhoster) habe ich
auf meinem System auch openssl auf 1.1.0h-4 on-hold setzen müssen.
(Namen kann ich leider nicht nennen, fängt mit A an.)

Das ist leider ein weitverbreitetes Problem, das solche
"Enterprise"-Anbieter total überaltete Systeme und Protokolle verwenden.

Da ist Bluewin nur die Spitze des Eisberges.

Gruß
   Klaus
-- 
Klaus Ethgen   http://www.ethgen.ch/
pub  4096R/4E20AF1C 2011-05-16Klaus Ethgen 
Fingerprint: 85D4 CA42 952C 949B 1753  62B3 79D0 B06F 4E20 AF1C


signature.asc
Description: PGP signature

___
swinog mailing list
swinog@lists.swinog.ch
http://lists.swinog.ch/cgi-bin/mailman/listinfo/swinog

[swinog] openssl 1.1.1c and too short DH key on @bluewin.ch

2019-07-17 Diskussionsfäden Benoît Panizzon 
Hi List

If you also noticed emails not being delivered anymore to @bluewin
after uprading to Debian Buster or and other system with newer openSSL
libraries.

This is due to new versions of openSSL not accepting DH keys shorter
than 1024 to counter the logjam attack.

Unfortunately the keys provided by bluewin are too short, causing the
TLS handshake to fail.

Work-Around for now: Disable DH

Test with:

# openssl s_client -cipher 'DEFAULT:!DH' -connect \
mxbw.lb.bluewin.ch:smtp -starttls smtp

In sendmail.mc

O CipherList=HIGH:!DH

-Benoît-


___
swinog mailing list
swinog@lists.swinog.ch
http://lists.swinog.ch/cgi-bin/mailman/listinfo/swinog