Início / server / Perguntas / 653652
Accepted
Synchro
Asked: 2014-12-20 01:43:54 +0800 CST

Perfect Forward Secrecy (PFS) para servidores de correio

  • 772

O Perfect Forward Secrecy é um aprimoramento importante para as comunicações SSL/TLS, ajudando a impedir que o tráfego SSL capturado seja descriptografado, mesmo que o invasor tenha a chave privada. É bastante fácil de suportar em servidores web, mas também é aplicável a qualquer outro contexto SSL, como em servidores de e-mail para SMTP, POP3 e IMAP.

Isso recentemente (setembro de 2014) veio à tona na Alemanha, onde órgãos de proteção de dados começaram a inspecionar e multar organizações que não suportam PFS em seus servidores de correio, juntamente com vulnerabilidades heartbleed e poodle. O suporte a PFS em navegadores da Web é um tanto irregular, embora todos os principais o suportem - mas estou procurando informações de compatibilidade de PFS em servidores de e-mail e clientes, idealmente algo como os testes de handshake do SSL Labs , mas para servidores de e-mail.

Alguém pode fornecer ou me indicar boas fontes para compatibilidade com PFS do servidor de email?

Para esclarecer, não pretendo interrogar um servidor específico, mas ver os resultados de tais testes em uma ampla gama de servidores diferentes, por exemplo, seria útil saber que o Outlook 2003 não oferece suporte a ECDHE ou que o Android 2 não permite parâmetros DH maiores que 2048 bits (não sei se são verdadeiros, são apenas exemplos). O benefício disso é saber que, se eu optar por desabilitar alguma cifra específica, quais clientes provavelmente afetarão, assim como os testes de laboratórios SSL mostram para clientes da web.

security

2 respostas

  1. Best Answer

    O benefício disso é saber que, se eu optar por desabilitar alguma cifra específica, quais clientes provavelmente afetarão, assim como os testes de laboratórios SSL mostram para clientes da web.

    Você não precisa se restringir a uma cifra específica, mas simplesmente habilitar todas as cifras aceitáveis ​​para você e na ordem que preferir. A cifra resultante será então negociada entre o cliente e o servidor, dependendo das cifras suportadas em ambos os sites. Não se restrinja desnecessariamente.

    Quanto às cifras normalmente usadas no lado do servidor, você pode dar uma olhada em Quantificar a qualidade do suporte TLS, onde analisei o suporte TLS para SMTP dos principais sites de 1 milhão de acordo com Alexa, que são cerca de 600.000 servidores de correio com TLS ativado . De acordo com meus testes, cerca de 33% dos servidores usam cifras ECDHE e 52% cifras DHE, de modo que 85% usam sigilo direto.

    E para mais informações sobre as cifras usadas que você não encontrará no estudo, aqui está uma lista detalhada de cifras negociadas quando usadas com o conjunto de cifras DEFAULT do OpenSSL 1.0.1:

    100.00%     600433 TOTAL
 29.53%     177285 DHE-RSA-AES256-GCM-SHA384
 21.20%     127304 ECDHE-RSA-AES128-GCM-SHA256
 20.62%     123804 DHE-RSA-AES256-SHA
  7.65%      45919 AES256-SHA
  6.40%      38404 ECDHE-RSA-AES256-GCM-SHA384
  4.42%      26558 AES256-GCM-SHA384
  4.36%      26189 ECDHE-RSA-AES256-SHA384
  1.76%      10586 AES128-SHA
  1.17%       7003 RC4-SHA
  0.93%       5577 DHE-RSA-AES256-SHA256
  0.90%       5389 ECDHE-RSA-AES256-SHA
  0.56%       3372 DHE-RSA-CAMELLIA256-SHA
  0.19%       1137 RC4-MD5
  0.08%        503 EDH-RSA-DES-CBC3-SHA
  0.08%        454 DES-CBC3-SHA
  0.07%        444 AES128-SHA256
  0.04%        235 DHE-RSA-AES128-GCM-SHA256
  0.01%         82 AES128-GCM-SHA256
  0.01%         59 AES256-SHA256
  0.01%         53 DHE-RSA-AES128-SHA
  0.00%         23 ECDHE-RSA-AES128-SHA
  0.00%         14 DHE-DSS-AES256-SHA
  0.00%         11 ECDHE-RSA-AES128-SHA256
  0.00%         10 ECDHE-RSA-RC4-SHA
  0.00%         10 ECDHE-RSA-DES-CBC3-SHA
  0.00%          4 DHE-DSS-AES256-GCM-SHA384
  0.00%          2 CAMELLIA256-SHA
  0.00%          1 DHE-RSA-SEED-SHA
  0.00%          1 AECDH-DES-CBC3-SHA
    • 4

  2. Verifique o script gratuito escrito pela empresa onde um dos funcionários altamente qualificados da Security SE trabalha: https://labs.portcullis.co.uk/tools/ssl-cipher-suite-enum/

    ssl-cipher-suite-enum identifica os seguintes problemas comuns de segurança relacionados ao SSL: chaves fossem comprometidas.

    Se você quiser fazer isso devagar e manualmente, o conjunto de opensslferramentas portmanteau é muito útil:

    De https://community.qualys.com/thread/12193 :

    openssl s_client -starttls smtp -crlf -connect YOUR_SMTP_SERVER:25

    Se você vir DHE (Diffie-Hellmann Ephemeral) no conjunto de cifras, é PFS.

    Deste post na Security SE TLS_DHE_DSS_WITH_DES_CBC_SHA DHE-DSS-CBC-SHA TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA DHE-DSS-DES-CBC3-SHA TLS_DHE_RSA_WITH_DES_CBC_SHA DHE-RSA-DES-CBC-SHA TLS_DHE_RSA_WITH_3DES_EDE_CBC_SHA DHE-RSA-DES-CBC3-SHA 

    TLS_DHE_DSS_WITH_AES_128_CBC_SHA        DHE-DSS-AES128-SHA
TLS_DHE_DSS_WITH_AES_256_CBC_SHA        DHE-DSS-AES256-SHA
TLS_DHE_RSA_WITH_AES_128_CBC_SHA        DHE-RSA-AES128-SHA
TLS_DHE_RSA_WITH_AES_256_CBC_SHA        DHE-RSA-AES256-SHA

TLS_DHE_DSS_WITH_CAMELLIA_128_CBC_SHA  DHE-DSS-CAMELLIA128-SHA
TLS_DHE_DSS_WITH_CAMELLIA_256_CBC_SHA  DHE-DSS-CAMELLIA256-SHA
TLS_DHE_RSA_WITH_CAMELLIA_128_CBC_SHA  DHE-RSA-CAMELLIA128-SHA
TLS_DHE_RSA_WITH_CAMELLIA_256_CBC_SHA  DHE-RSA-CAMELLIA256-SHA

TLS_DHE_DSS_WITH_SEED_CBC_SHA          DHE-DSS-SEED-SHA
TLS_DHE_RSA_WITH_SEED_CBC_SHA          DHE-RSA-SEED-SHA

    Se incluirmos as cifras de curva elíptica, as seguintes também implementam o PFS:

    TLS_ECDHE_RSA_WITH_NULL_SHA             ECDHE-RSA-NULL-SHA
TLS_ECDHE_RSA_WITH_RC4_128_SHA          ECDHE-RSA-RC4-SHA
TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA     ECDHE-RSA-DES-CBC3-SHA
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA      ECDHE-RSA-AES128-SHA
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA      ECDHE-RSA-AES256-SHA

TLS_ECDHE_ECDSA_WITH_NULL_SHA           ECDHE-ECDSA-NULL-SHA
TLS_ECDHE_ECDSA_WITH_RC4_128_SHA        ECDHE-ECDSA-RC4-SHA
TLS_ECDHE_ECDSA_WITH_3DES_EDE_CBC_SHA   ECDHE-ECDSA-DES-CBC3-SHA
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA    ECDHE-ECDSA-AES128-SHA
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA    ECDHE-ECDSA-AES256-SHA

    Se você também deseja incluir o TLS 1.2 (observe que não há suítes específicas do TLS 1.1), você pode expandir a lista para incluir:

    TLS_DHE_RSA_WITH_AES_128_CBC_SHA256       DHE-RSA-AES128-SHA256
TLS_DHE_RSA_WITH_AES_256_CBC_SHA256       DHE-RSA-AES256-SHA256
TLS_DHE_RSA_WITH_AES_128_GCM_SHA256       DHE-RSA-AES128-GCM-SHA256
TLS_DHE_RSA_WITH_AES_256_GCM_SHA384       DHE-RSA-AES256-GCM-SHA384

TLS_DHE_DSS_WITH_AES_128_CBC_SHA256       DHE-DSS-AES128-SHA256
TLS_DHE_DSS_WITH_AES_256_CBC_SHA256       DHE-DSS-AES256-SHA256
TLS_DHE_DSS_WITH_AES_128_GCM_SHA256       DHE-DSS-AES128-GCM-SHA256
TLS_DHE_DSS_WITH_AES_256_GCM_SHA384       DHE-DSS-AES256-GCM-SHA384

TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256     ECDHE-RSA-AES128-SHA256
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384     ECDHE-RSA-AES256-SHA384
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256     ECDHE-RSA-AES128-GCM-SHA256
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384     ECDHE-RSA-AES256-GCM-SHA384

TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256   ECDHE-ECDSA-AES128-SHA256
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384   ECDHE-ECDSA-AES256-SHA384
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256   ECDHE-ECDSA-AES128-GCM-SHA256
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384   ECDHE-ECDSA-AES256-GCM-SHA384

TLS_ECDHE_ECDSA_WITH_CAMELLIA_128_CBC_SHA256 ECDHE-ECDSA-CAMELLIA128-SHA256
TLS_ECDHE_ECDSA_WITH_CAMELLIA_256_CBC_SHA384 ECDHE-ECDSA-CAMELLIA256-SHA384

TLS_ECDHE_RSA_WITH_CAMELLIA_128_CBC_SHA256   ECDHE-RSA-CAMELLIA128-SHA256
TLS_ECDHE_RSA_WITH_CAMELLIA_256_CBC_SHA384   ECDHE-RSA-CAMELLIA256-SHA384
    • 3

relate perguntas