[postfix-users] Forward Secrecy
Robert Schetterer via postfix-users
postfix-users at de.postfix.org
Mi Aug 14 13:55:35 CEST 2013
Am 14.08.2013 13:43, schrieb Jochen Fahrner via postfix-users:
> Am 14.08.2013 13:02, schrieb Ralf Hildebrandt:
>> Also ich suche so:
>>
>> ECDHE (elliptic curve diffie hellman ephemeral):
>>
>> # zegrep "TLS connection established from.*with cipher.*ECDHE" /var/log/OLD/2013-08-*/mail.log* | awk '{printf("%s %s %s %s\n", $12, $13, $14, $15)}' | sort | uniq -c | sort -n
>> 18 SSLv3 with cipher ECDHE-RSA-AES256-SHA
>> 13523 TLSv1 with cipher ECDHE-RSA-AES256-SHA
>> 17201 TLSv1 with cipher ECDHE-RSA-AES128-SHA
>> 27290 TLSv1 with cipher ECDHE-RSA-RC4-SHA
>>
>> Bei denen handelt es sich primär um Google, Freenet, Web.de und GMX.
>
> Mit EHCDHE habe ich gar nichts. Ich habe nur folgende:
> 6 TLSv1 with cipher DHE-RSA-AES128-SHA
> 26 TLSv1 with cipher RC4-MD5
> 30 TLSv1 with cipher RC4-SHA
> 184 TLSv1 with cipher AES256-SHA
> 218 TLSv1 with cipher DHE-RSA-AES256-SHA
> 404 TLSv1 with cipher ADH-AES256-SHA
>
> Da muss ich wohl noch dran arbeiten.
so wie ich das verstanden habe muesste DHE auch ausreichen
EHCDHE ist extended per se schneller
http://vincent.bernat.im/en/blog/2011-ssl-perfect-forward-secrecy.html
Because the Diffie-Hellman exchange described above always uses new
random values ·a· and ·b·, it is called Ephemeral Diffie-Hellman (EDH or
DHE). Cipher suites like DHE-RSA-AES128-SHA use this protocol to achieve
perfect forward secrecy1.
Using ECDHE-RSA-AES128-SHA cipher suite (with P-256 for example) is
already a huge speed improvement over DHE-RSA-AES128-SHA thanks to the
reduced size of the various parameters involved.
>
>
>> Ich nutze:
>>
>> smtpd_tls_protocols = !SSLv2, !TLSv1.1, !TLSv1.2
>> smtp_tls_protocols = !SSLv2, !TLSv1.1, !TLSv1.2
>
> Wozu ist das gut Protokolle auszuschliessen?
>
>
SSLv2 ist wohl per se kapput, die anderen haben wohl auch noch Macken
Best Regards
MfG Robert Schetterer
--
[*] sys4 AG
http://sys4.de, +49 (89) 30 90 46 64
Franziskanerstraße 15, 81669 München
Sitz der Gesellschaft: München, Amtsgericht München: HRB 199263
Vorstand: Patrick Ben Koetter, Axel von der Ohe, Marc Schiffbauer
Aufsichtsratsvorsitzender: Florian Kirstein
Mehr Informationen über die Mailingliste postfix-users