On 4 Jul 2014 Raik Fischer <raik_fischer@xxxxxxxx> wrote: >t-online, das eigentlich kritische Konto verhandelt immer AES-256-CBC. >arcor, welches ich unter RISC OS selten verschlüsselt nutze, verhandelt >immer AES-128-CBC. Was das genau bedeutet weiß ich nicht. Das ist eine von vielen Verschlüsselungsmethoden, auch Cipher genannt. TLS und das alte SSL ist nur ein Kontainer für Verschlüsselung. AES gilt als veraltet und sollte nicht mehr genutzt werden. Ich habe mal unter Linux versucht mich per openssl mit AES-128-CBC ("openssl s_client -host securepop.t-online.de -port 995 -cipher AES-128-CBC") und AES-256-CBC auf den T-Online Mailserver zu verbinden. Ist mir nicht gelungen. Mit "ECDHE-RSA-AES256-GCM-SHA384" klapt es und sicherlich mit anderen auch. Im aktuellen Linux Magazin wird dem Serveradmin folgende Konfiguration in dieser Reihnefolge empfohlen. Da spielt nicht nur Sicherheit, sondern auch Performance einen Rolle. Hier wird immer den 128 Bit vor den 256 Bit der Vorrang gegeben. Das würde ich so nicht machen. Aber man sieht schon welche Cipher man bevorzugen sollte. Die Cipher nach der Leerzeile sollte man nur einsetzen wenn man alte Clients unterstützen möchte. ECDHE-ECDSA-AES128-GCM-SHA256 ECDHE-ECDSA-AES256-GCM-SHA384 ECDHE-RSA-AES128-GCM-SHA256 ECDHE-RSA-AES256-GCM-SHA384 DHE-RSA-AES128-GCM-SHA256 DHE-RSA-AES256-GCM-SHA384 ECDHE-ECDSA-AES128-SHA ECDHE-ECDSA-AES256-SHA ECDHE-ECDSA-DES-CBC3-SHA ECDHE-RSA-AES128-SHA ECDHE-RSA-AES256-SHA ECDHE-RSA-DES-CBC3-SHA ECDHE-RSA-AES128-SHA DHE-RSA-AES256-SHA EDH-RSA-DES-CBC3-SHA AES128-GCM-SHA256 AES256-GCM-SHA384 AES128-SHA AES256-SHA DES-CBC3-SHA Carlos Michael Santillán -- http://www.arcsite.de/ http://www.risc-os.de/ Ein Staat, in dem alle verdächtig sind, ist selbst verdächtig A state that suspects everyone is itself suspicious