Eu tenho um servidor dovecot em execução que impõe TLS1.2
ssl_protocols = !SSLv2 !SSLv3 !TLSv1 !TLSv1.1 TLSv1.2
Isso costumava funcionar bem até que alguém tentasse se conectar com um iPhone que reclama que o servidor não está respondendo e vejo de acordo com as mensagens de log no servidor:
imap-login: Error: SSL: Stacked error: error:140760FC:SSL routines:SSL23_GET_CLIENT_HELLO:unknown protocol
Eu percebi que funciona bem se eu permito TLSv1 . Isso é pra valer? Eu encontrei outras pessoas reclamando sobre isso ( link TLSv1.2 é suportado apenas com cifras especiais, por exemplo?
Aqui está minha configuração ssl para concluir:
$ egrep -v "^#|^$" /etc/dovecot/conf.d/10-ssl.conf
ssl = yes
ssl_cert = </etc/ssl/my_certs/mail.xyz.tld.crt
ssl_key = </etc/ssl/my_certs/mail.xyz.tld.key
ssl_dh_parameters_length = 2048
ssl_protocols = !SSLv2 !SSLv3 !TLSv1 !TLSv1.1 TLSv1.2
ssl_cipher_list = ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!3DES:!MD5:!PSK
ssl_prefer_server_ciphers = yes
Por favor, alguém me acorde e me diga que isso é apenas um pesadelo ...
Obrigado pela sua ajuda!
Eu gostaria de poder te beliscar para te acordar, mas, infelizmente, isso não é um sonho. O aplicativo iOS Mail não pode falar mais tarde sobre TLS do que sobre TLSv1. Nem mesmo 1.1 (o que é bom para a PCI). A Apple realmente deixou cair a bola nessa. O aplicativo Mail suporta TLS1.1 e 1.2 para SMTP, mas não para POP3 ou IMAP. Parece que as pessoas têm reclamado à Apple sobre isso há pelo menos um ano, mas até agora sem efeito.