Como a desativação do SSLv3 no servidor Courier-IMAP afeta os Agentes de usuários de email antigos?

6

Eu gostaria de mitigar o POODLE vuln. no meu servidor courier-imap. Eu sei como fazê-lo. Estou realmente preocupado em como isso afetará os MUAs, especialmente os mais antigos. Ainda há usuários usando o Outlook Express 6 no Windows XP. Existe alguma análise sobre qual MUA vai parar de funcionar com SSLv3 desligado do lado do servidor? Ou talvez seja uma ação completamente segura?

    
por Scyld de Fraud 22.10.2014 / 18:24

2 respostas

1

Tendo tentado isso na semana passada, minha experiência foi que quebrou um lote de clientes. É verdade que o Outlook moderno suporta TLS, mas acha que isso significa iniciar em texto simples, em seguida, escalar para criptografia . A idéia de que o TLS pode ser usado como um cyphersuite ab initio parece ter escapado dele; sempre que eu selecionava TLS, ele insistia que queria usar a porta IMAP 143, não a porta IMAP / S 993. Embora eu confesse que não sou administrador do Windows, não consegui convencê-lo, e como não tenho nenhum desejo de expor a porta 143, isso me frustrou.

O correio K-9 (v5.001) nos telefones Android também quebrou. ALPINE (2.11) no Linux estava bem, claro. Eu não posso falar pelo Thunderbird em nenhuma plataforma, porque quando meus usuários (incluindo minha esposa) terminaram de dobrar meus ouvidos, fui persuadido a voltar atrás.

A maior parte da análise que vi sugere que não há exploits SSLv3 baseados em IMAP / POP neste momento . Meu novo plano é configurar um segundo dovecot na porta 994, fazendo apenas TLS, e gentilmente convencer meus usuários a encontrar clientes que funcionem para eles. Se eu vir qualquer reportagem de exploits baseados em email em estado selvagem, " suavemente " pode ser um pouco mais strong.

Editar para comentar o comentário de mc0e abaixo:

Seu é um equívoco comum, e de fato eu sofri por muitos anos. No entanto, a crença de que o TLS só pode ser usado para criptografia por meio de escalonamento de texto simples é tão errado quanto é comum.

Considere: a atenuação do POODLE depende da desativação do SSLv3 para servidores HTTPS; servidores atenuados só podem falar em TLS. A menos que você pense que o HTTPS acabou de se tornar uma primeira fase de texto simples que não existia antes do POODLE, e que todos os navegadores do mundo mudaram de repente quando se conectaram à porta TCP 443 (não tem, e eles não ; ative o wireshark e veja), então o TLS está sendo usado para sessões que são criptografadas desde o início. O TLS certamente suporta a atualização de texto simples, mas também pode ser usado para criptografia ab initio - apesar do que vários pacotes de software cliente pensam.

Editar 2 : mc0e, eu concordo que STARTTLS está definitivamente restrito a serviços de texto simples. No entanto, isso não é o que está em discussão e não é a terminologia usada por muitos clientes. Para eles, como para muitos, STARTTLS e TLS são a mesma coisa; meu ponto é que eles não são; o último é um superconjunto puro do primeiro.

As pessoas que acham que a troca de serviços criptografados que não são da Web para fora do SSLv3 será fácil " porque o cliente suporta TLS " pode ter problemas porque o cliente realmente significa que ele suporta " STARTTLS para criptografia uprating", em vez de "TLS como um criptosuite para ambas ab initio conexões criptografadas e melhorando de texto simples ".

    
por 25.10.2014 / 22:00
0

O Outlook Express oferece suporte a TLS junto com o SSL. Portanto, remover o SSlv3 afetaria as pessoas que o configuram para usar o SSL. Uma mudança para usar o TLS deve funcionar.

O SSLv3 é tão antigo com o TLS que a maioria dos clientes de e-mail suporta TLS, então eu não me preocuparia com isso. POODLE também afeta XPsp2 e abaixo, então se você puder apenas dizer às pessoas para atualizar para o sp3 e isto é, irá funcionar novamente.

    
por 25.10.2014 / 20:21