Desativando o SSLv2 no Dovecot v1

1

Ainda estou usando o Dovecot v1 (1.1.20) em um servidor osx. Estou tentando desativar o SSLv2. Parece que a configuração padrão já a desativou:

ssl_cipher_list = ALL:!LOW:!SSLv2:!aNULL:!ADH:!eNULL

Mas quando eu testo meu servidor web com ssllabs, ele reclama que meu servidor de e-mail (pop, imap) é vulnerável por causa do uso de SSLv2 (mesma chave). Eu também tentei:

ssl_cipher_list = ALL:!aNULL:!ADH:!eNULL:!LOW:!EXP:!RC4+RSA:+HIGH:+MEDIUM:!SSLv2

Sem mais sucesso.

Eu sei que este servidor precisa de uma grande atualização de software.

    
por Francis 07.03.2016 / 16:44

1 resposta

2

SSLv2 é um protocolo , não uma cifra. O "SSLv2" na lista de cifras representa várias cifras associadas ao SSLv2, não ao próprio protocolo.

No dovecot, o parâmetro não documentado ssl_protocols é usado para desativar determinados protocolos:

ssl_protocols = !SSLv2 !SSLv3

Isto existe no Dovecot v2; mas não sei se existe no Dovecot v1.

    
por 07.03.2016 / 16:52