[CentOS-de] E-Mail made in Germany vs. CentOS 5: tlsv1 alert insufficient security

Tilman Schmidt t.schmidt at phoenixsoftware.de
Mi Aug 14 10:04:28 UTC 2013


Hallo Klaus,

Am 14.08.2013 10:27, schrieb Klaus Tachtler:
> 
> Evtl. versuchen die Provider Ihre Sicherheit durch "PFS" -
> Perfect Forward Security zu verbessern.
[...]
> Dies setzt voraus, das in openssl eine Schlüsselvereinbarung nach
> Diffie-Hellmann möglich ist.
> 
> Mach mal 'openssl ciphers' in der shell, hier muss DHE-... oder noch
> besser (aber unwahrscheinlich) ECDH-... als eine Möglichkeit auftauchen.
> 
> Vergleiche mal openssl auf CentOS 5 und CentOS 6...
> 
> Die Provider wollen nämlich "cipher=DHE-RSA-AES128-SHA, bits=128/128"
> sprechen...

CentOS 5:
[ts at gimli ~]$ openssl ciphers
DHE-RSA-AES256-SHA:DHE-DSS-AES256-SHA:AES256-SHA:KRB5-DES-CBC3-MD5:KRB5-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:EDH-DSS-DES-CBC3-SHA:DES-CBC3-SHA:DES-CBC3-MD5:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA:AES128-SHA:RC2-CBC-MD5:KRB5-RC4-MD5:KRB5-RC4-SHA:RC4-SHA:RC4-MD5:RC4-MD5:KRB5-DES-CBC-MD5:KRB5-DES-CBC-SHA:EDH-RSA-DES-CBC-SHA:EDH-DSS-DES-CBC-SHA:DES-CBC-SHA:DES-CBC-MD5:EXP-KRB5-RC2-CBC-MD5:EXP-KRB5-DES-CBC-MD5:EXP-KRB5-RC2-CBC-SHA:EXP-KRB5-DES-CBC-SHA:EXP-EDH-RSA-DES-CBC-SHA:EXP-EDH-DSS-DES-CBC-SHA:EXP-DES-CBC-SHA:EXP-RC2-CBC-MD5:EXP-RC2-CBC-MD5:EXP-KRB5-RC4-MD5:EXP-KRB5-RC4-SHA:EXP-RC4-MD5:EXP-RC4-MD5

CentOS 6:
[ts at gimli ~]$ ssh posthamster openssl ciphers
DHE-RSA-AES256-SHA:DHE-DSS-AES256-SHA:DHE-RSA-CAMELLIA256-SHA:DHE-DSS-CAMELLIA256-SHA:AES256-SHA:CAMELLIA256-SHA:PSK-AES256-CBC-SHA:EDH-RSA-DES-CBC3-SHA:EDH-DSS-DES-CBC3-SHA:DES-CBC3-SHA:PSK-3DES-EDE-CBC-SHA:KRB5-DES-CBC3-SHA:KRB5-DES-CBC3-MD5:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA:DHE-RSA-SEED-SHA:DHE-DSS-SEED-SHA:DHE-RSA-CAMELLIA128-SHA:DHE-DSS-CAMELLIA128-SHA:AES128-SHA:SEED-SHA:CAMELLIA128-SHA:PSK-AES128-CBC-SHA:RC4-SHA:RC4-MD5:PSK-RC4-SHA:KRB5-RC4-SHA:KRB5-RC4-MD5:EDH-RSA-DES-CBC-SHA:EDH-DSS-DES-CBC-SHA:DES-CBC-SHA:KRB5-DES-CBC-SHA:KRB5-DES-CBC-MD5:EXP-EDH-RSA-DES-CBC-SHA:EXP-EDH-DSS-DES-CBC-SHA:EXP-DES-CBC-SHA:EXP-RC2-CBC-MD5:EXP-KRB5-RC2-CBC-SHA:EXP-KRB5-DES-CBC-SHA:EXP-KRB5-RC2-CBC-MD5:EXP-KRB5-DES-CBC-MD5:EXP-RC4-MD5:EXP-KRB5-RC4-SHA:EXP-KRB5-RC4-MD5

DHE-RSA-AES128-SHA ist also bei beiden drin.

[ts at gimli ~]$ openssl ciphers | tr ':' '\n' | sort > gimli-ciphers
[ts at gimli ~]$ ssh posthamster openssl ciphers | tr ':' '\n' | sort >
posthamster-ciphers
[ts at gimli ~]$ diff -u gimli-ciphers posthamster-ciphers
--- gimli-ciphers       2013-08-14 11:48:18.000000000 +0200
+++ posthamster-ciphers 2013-08-14 11:48:27.000000000 +0200
@@ -1,13 +1,19 @@
 AES128-SHA
 AES256-SHA
-DES-CBC3-MD5
+CAMELLIA128-SHA
+CAMELLIA256-SHA
 DES-CBC3-SHA
-DES-CBC-MD5
 DES-CBC-SHA
 DHE-DSS-AES128-SHA
 DHE-DSS-AES256-SHA
+DHE-DSS-CAMELLIA128-SHA
+DHE-DSS-CAMELLIA256-SHA
+DHE-DSS-SEED-SHA
 DHE-RSA-AES128-SHA
 DHE-RSA-AES256-SHA
+DHE-RSA-CAMELLIA128-SHA
+DHE-RSA-CAMELLIA256-SHA
+DHE-RSA-SEED-SHA
 EDH-DSS-DES-CBC3-SHA
 EDH-DSS-DES-CBC-SHA
 EDH-RSA-DES-CBC3-SHA
@@ -22,8 +28,6 @@
 EXP-KRB5-RC4-MD5
 EXP-KRB5-RC4-SHA
 EXP-RC2-CBC-MD5
-EXP-RC2-CBC-MD5
-EXP-RC4-MD5
 EXP-RC4-MD5
 KRB5-DES-CBC3-MD5
 KRB5-DES-CBC3-SHA
@@ -31,7 +35,10 @@
 KRB5-DES-CBC-SHA
 KRB5-RC4-MD5
 KRB5-RC4-SHA
-RC2-CBC-MD5
-RC4-MD5
+PSK-3DES-EDE-CBC-SHA
+PSK-AES128-CBC-SHA
+PSK-AES256-CBC-SHA
+PSK-RC4-SHA
 RC4-MD5
 RC4-SHA
+SEED-SHA

D.h. auf CentOS 6 sind ein paar (nicht alle) MD5-Varianten weggefallen,
dafür sind die Verschlüsselungsverfahren Camellia und SEED sowie PSK
als Schlüsselaustauschverfahren dazugekommen. Das sollte eigentlich
alles kein Problem sein.

Außerdem interpretiere ich die Fehlermeldung so, dass mein CentOS 5
Server die von GMX bzw. web.de angebotenen Verfahren für unzureichend
hält - nicht umgekehrt. Eine Dokumentation, was die Meldung offiziell
besagen soll, habe ich allerdings nicht gefunden.

Grüße,
Tilman

-- 
Tilman Schmidt
Phoenix Software GmbH
Bonn, Germany