[CentOS-de] E-Mail made in Germany vs. CentOS 5: tlsv1 alert insufficient security
Tilman Schmidt
t.schmidt at phoenixsoftware.de
Mi Aug 14 10:04:28 UTC 2013
Hallo Klaus,
Am 14.08.2013 10:27, schrieb Klaus Tachtler:
>
> Evtl. versuchen die Provider Ihre Sicherheit durch "PFS" -
> Perfect Forward Security zu verbessern.
[...]
> Dies setzt voraus, das in openssl eine Schlüsselvereinbarung nach
> Diffie-Hellmann möglich ist.
>
> Mach mal 'openssl ciphers' in der shell, hier muss DHE-... oder noch
> besser (aber unwahrscheinlich) ECDH-... als eine Möglichkeit auftauchen.
>
> Vergleiche mal openssl auf CentOS 5 und CentOS 6...
>
> Die Provider wollen nämlich "cipher=DHE-RSA-AES128-SHA, bits=128/128"
> sprechen...
CentOS 5:
[ts at gimli ~]$ openssl ciphers
DHE-RSA-AES256-SHA:DHE-DSS-AES256-SHA:AES256-SHA:KRB5-DES-CBC3-MD5:KRB5-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:EDH-DSS-DES-CBC3-SHA:DES-CBC3-SHA:DES-CBC3-MD5:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA:AES128-SHA:RC2-CBC-MD5:KRB5-RC4-MD5:KRB5-RC4-SHA:RC4-SHA:RC4-MD5:RC4-MD5:KRB5-DES-CBC-MD5:KRB5-DES-CBC-SHA:EDH-RSA-DES-CBC-SHA:EDH-DSS-DES-CBC-SHA:DES-CBC-SHA:DES-CBC-MD5:EXP-KRB5-RC2-CBC-MD5:EXP-KRB5-DES-CBC-MD5:EXP-KRB5-RC2-CBC-SHA:EXP-KRB5-DES-CBC-SHA:EXP-EDH-RSA-DES-CBC-SHA:EXP-EDH-DSS-DES-CBC-SHA:EXP-DES-CBC-SHA:EXP-RC2-CBC-MD5:EXP-RC2-CBC-MD5:EXP-KRB5-RC4-MD5:EXP-KRB5-RC4-SHA:EXP-RC4-MD5:EXP-RC4-MD5
CentOS 6:
[ts at gimli ~]$ ssh posthamster openssl ciphers
DHE-RSA-AES256-SHA:DHE-DSS-AES256-SHA:DHE-RSA-CAMELLIA256-SHA:DHE-DSS-CAMELLIA256-SHA:AES256-SHA:CAMELLIA256-SHA:PSK-AES256-CBC-SHA:EDH-RSA-DES-CBC3-SHA:EDH-DSS-DES-CBC3-SHA:DES-CBC3-SHA:PSK-3DES-EDE-CBC-SHA:KRB5-DES-CBC3-SHA:KRB5-DES-CBC3-MD5:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA:DHE-RSA-SEED-SHA:DHE-DSS-SEED-SHA:DHE-RSA-CAMELLIA128-SHA:DHE-DSS-CAMELLIA128-SHA:AES128-SHA:SEED-SHA:CAMELLIA128-SHA:PSK-AES128-CBC-SHA:RC4-SHA:RC4-MD5:PSK-RC4-SHA:KRB5-RC4-SHA:KRB5-RC4-MD5:EDH-RSA-DES-CBC-SHA:EDH-DSS-DES-CBC-SHA:DES-CBC-SHA:KRB5-DES-CBC-SHA:KRB5-DES-CBC-MD5:EXP-EDH-RSA-DES-CBC-SHA:EXP-EDH-DSS-DES-CBC-SHA:EXP-DES-CBC-SHA:EXP-RC2-CBC-MD5:EXP-KRB5-RC2-CBC-SHA:EXP-KRB5-DES-CBC-SHA:EXP-KRB5-RC2-CBC-MD5:EXP-KRB5-DES-CBC-MD5:EXP-RC4-MD5:EXP-KRB5-RC4-SHA:EXP-KRB5-RC4-MD5
DHE-RSA-AES128-SHA ist also bei beiden drin.
[ts at gimli ~]$ openssl ciphers | tr ':' '\n' | sort > gimli-ciphers
[ts at gimli ~]$ ssh posthamster openssl ciphers | tr ':' '\n' | sort >
posthamster-ciphers
[ts at gimli ~]$ diff -u gimli-ciphers posthamster-ciphers
--- gimli-ciphers 2013-08-14 11:48:18.000000000 +0200
+++ posthamster-ciphers 2013-08-14 11:48:27.000000000 +0200
@@ -1,13 +1,19 @@
AES128-SHA
AES256-SHA
-DES-CBC3-MD5
+CAMELLIA128-SHA
+CAMELLIA256-SHA
DES-CBC3-SHA
-DES-CBC-MD5
DES-CBC-SHA
DHE-DSS-AES128-SHA
DHE-DSS-AES256-SHA
+DHE-DSS-CAMELLIA128-SHA
+DHE-DSS-CAMELLIA256-SHA
+DHE-DSS-SEED-SHA
DHE-RSA-AES128-SHA
DHE-RSA-AES256-SHA
+DHE-RSA-CAMELLIA128-SHA
+DHE-RSA-CAMELLIA256-SHA
+DHE-RSA-SEED-SHA
EDH-DSS-DES-CBC3-SHA
EDH-DSS-DES-CBC-SHA
EDH-RSA-DES-CBC3-SHA
@@ -22,8 +28,6 @@
EXP-KRB5-RC4-MD5
EXP-KRB5-RC4-SHA
EXP-RC2-CBC-MD5
-EXP-RC2-CBC-MD5
-EXP-RC4-MD5
EXP-RC4-MD5
KRB5-DES-CBC3-MD5
KRB5-DES-CBC3-SHA
@@ -31,7 +35,10 @@
KRB5-DES-CBC-SHA
KRB5-RC4-MD5
KRB5-RC4-SHA
-RC2-CBC-MD5
-RC4-MD5
+PSK-3DES-EDE-CBC-SHA
+PSK-AES128-CBC-SHA
+PSK-AES256-CBC-SHA
+PSK-RC4-SHA
RC4-MD5
RC4-SHA
+SEED-SHA
D.h. auf CentOS 6 sind ein paar (nicht alle) MD5-Varianten weggefallen,
dafür sind die Verschlüsselungsverfahren Camellia und SEED sowie PSK
als Schlüsselaustauschverfahren dazugekommen. Das sollte eigentlich
alles kein Problem sein.
Außerdem interpretiere ich die Fehlermeldung so, dass mein CentOS 5
Server die von GMX bzw. web.de angebotenen Verfahren für unzureichend
hält - nicht umgekehrt. Eine Dokumentation, was die Meldung offiziell
besagen soll, habe ich allerdings nicht gefunden.
Grüße,
Tilman
--
Tilman Schmidt
Phoenix Software GmbH
Bonn, Germany