[archimedes] Re: Messenger und SSL/TSL
- From: Carlos Michael Santillan <ml-archimedes@xxxxxxxxxx>
- To: archimedes@xxxxxxxxxxxxx
- Date: Sun, 06 Jul 2014 14:41:08 +0200
On 4 Jul 2014 Raik Fischer <raik_fischer@xxxxxxxx> wrote:
>t-online, das eigentlich kritische Konto verhandelt immer AES-256-CBC.
>arcor, welches ich unter RISC OS selten verschlüsselt nutze, verhandelt
>immer AES-128-CBC. Was das genau bedeutet weiß ich nicht.
Das ist eine von vielen Verschlüsselungsmethoden, auch Cipher genannt.
TLS und das alte SSL ist nur ein Kontainer für Verschlüsselung.
AES gilt als veraltet und sollte nicht mehr genutzt werden.
Ich habe mal unter Linux versucht mich per openssl mit AES-128-CBC
("openssl s_client -host securepop.t-online.de -port 995 -cipher
AES-128-CBC") und AES-256-CBC auf den T-Online Mailserver zu verbinden.
Ist mir nicht gelungen. Mit "ECDHE-RSA-AES256-GCM-SHA384" klapt es und
sicherlich mit anderen auch.
Im aktuellen Linux Magazin wird dem Serveradmin folgende Konfiguration
in dieser Reihnefolge empfohlen. Da spielt nicht nur Sicherheit, sondern
auch Performance einen Rolle. Hier wird immer den 128 Bit vor den 256
Bit der Vorrang gegeben. Das würde ich so nicht machen. Aber man sieht
schon welche Cipher man bevorzugen sollte. Die Cipher nach der Leerzeile
sollte man nur einsetzen wenn man alte Clients unterstützen möchte.
ECDHE-ECDSA-AES128-GCM-SHA256
ECDHE-ECDSA-AES256-GCM-SHA384
ECDHE-RSA-AES128-GCM-SHA256
ECDHE-RSA-AES256-GCM-SHA384
DHE-RSA-AES128-GCM-SHA256
DHE-RSA-AES256-GCM-SHA384
ECDHE-ECDSA-AES128-SHA
ECDHE-ECDSA-AES256-SHA
ECDHE-ECDSA-DES-CBC3-SHA
ECDHE-RSA-AES128-SHA
ECDHE-RSA-AES256-SHA
ECDHE-RSA-DES-CBC3-SHA
ECDHE-RSA-AES128-SHA
DHE-RSA-AES256-SHA
EDH-RSA-DES-CBC3-SHA
AES128-GCM-SHA256
AES256-GCM-SHA384
AES128-SHA
AES256-SHA
DES-CBC3-SHA
Carlos Michael Santillán
--
http://www.arcsite.de/
http://www.risc-os.de/
Ein Staat, in dem alle verdächtig sind, ist selbst verdächtig
A state that suspects everyone is itself suspicious
Other related posts:
