Discussion:
[Postfixbuch-users] ssl clients
Hajo Locke
2014-10-15 14:47:30 UTC
Permalink
Hallo,

wegen der neuen Entwicklungen im SSL Bereich wollen wir nun auch SSLv3
komplett abschalten. Einige von Euch werden das sicherlich schon gemacht
haben.
Sind Euch da Probleme mit Clients aufgefallen? Gibt es eventuell noch
beliebte und verbreitete Clients die kein TLS können? Dürfte eigentlich
kaum der Fall sein, oder?

Danke,
Hajo
Helmut Hullen
2014-10-15 15:13:00 UTC
Permalink
Hallo, Hajo,
Post by Hajo Locke
wegen der neuen Entwicklungen im SSL Bereich wollen wir nun auch
SSLv3 komplett abschalten. Einige von Euch werden das sicherlich
schon gemacht haben.
Nein - da scheint (mal wieder) viel Panikmache dabei zu sein:

<http://www.welt.de/wirtschaft/webwelt/article133284672/Durch-Poodle-koennen-Hacker-ihre-Mails-mitlesen.html>

und dort insbesondere der Absatz
"Dazu müssen die Hacker allerdings im selben lokalen Netzwerk aktiv sein
wie der Nutzer - möglich wäre eine Attacke etwa, wenn Opfer und Täter
mit demselben öffentlichen WLAN-Netz eines Cafés oder eines Hotels
verbunden sind."


Viele Gruesse!
Helmut
Winfried Neessen
2014-10-15 16:03:18 UTC
Permalink
Hi,
Post by Helmut Hullen
Nein - da scheint (mal wieder) viel Panikmache dabei zu sein
Von Panikmache wuerde ich hier nicht sprechen. SSLv3 ist schon seit
langem ein als
"obsolete" und unsicher bekanntes Protokoll. POODLE ist nur ein weiterer
Meilenstein
in diesem Konstrukt. Nur das es diesmal kaum Workarounds (anders als bei
BEAST oder
Lucky 13) gibt- ausser halt SSLv3 komplett zu deaktiveren.
Post by Helmut Hullen
http://www.welt.de/wirtschaft/webwelt/article133284672/Durch-Poodle-koennen-Hacker-ihre-Mails-mitlesen.html
Ohne den Damen und Herren vom der Wirtschaftsteil der WELT in
irgendeiner Form zu Nahe
treten zu wollen, wuerde ich hier doch eher auf andere Quellen aus der
Szene bauen (z. B.
das originale Advisory von Bodo Möller[1]).

Sicherlich ist die Sache nicht ganz trivial auszunutzen, aber die Luecke
ist definitiv kritisch
und sollte nicht vernachlaessigt werden. Nicht umsonst haben Marktriesen
wie Facebook, Amazon AWS,
Akamai, Edgecast und dergl. bereits SSLv3 komplett auf ihren Systemen
deaktiviert.


Winni

[1] = https://www.openssl.org/~bodo/ssl-poodle.pdf
Stephan Seitz
2014-10-15 17:26:32 UTC
Permalink
Post by Winfried Neessen
Sicherlich ist die Sache nicht ganz trivial auszunutzen, aber die Luecke
ist definitiv kritisch
Ob das für jedes Protokoll gilt, das sich mit SSL absichert, ist
allerdings fraglich. Auf der postfix-Liste meinte jemand, daß dieser
Angriff mit SMTP wohl eher schwieriger zu realisieren ist als z.B. bei
HTTP.

Und bei der opportunistischen Verschlüsselung, die meistens im
SMTP-Bereich verwendet wird, mußt du dir halt überlegen, ob du lieber die
Mail dann im Klartext übermittelt bekommen willst, wenn dein Partner
nichts anderes spricht, oder mit SSLv3 verschlüsselt.

Allerdings glaube ich nicht wirklich, daß es noch Systeme geben mag,
maximal SSLv3 sprechen.

Shade and sweet water!

Stephan
--
| Stephan Seitz E-Mail: stse at fsing.rootsland.net |
| Public Keys: http://fsing.rootsland.net/~stse/keys.html |
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname : smime.p7s
Dateityp : application/x-pkcs7-signature
Dateigröße : 3735 bytes
Beschreibung: nicht verfügbar
URL : <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20141015/48fbbf85/attachment-0001.bin>
Helmut Hullen
2014-10-16 07:03:00 UTC
Permalink
Hallo, Winfried,

Du meintest am 15.10.14:


[Poodle]
Post by Winfried Neessen
Post by Helmut Hullen
Nein - da scheint (mal wieder) viel Panikmache dabei zu sein
Von Panikmache wuerde ich hier nicht sprechen. SSLv3 ist schon seit
langem ein als "obsolete" und unsicher bekanntes Protokoll. POODLE ist
nur ein weiterer Meilenstein in diesem Konstrukt. Nur das es diesmal
kaum Workarounds (anders als bei BEAST oder Lucky 13) gibt- ausser
halt SSLv3 komplett zu deaktiveren.
Etwas differenzierter:

<http://www.heise.de/security/artikel/Poodle-So-funktioniert-der-Angriff-auf-die-Verschluesselung-2425250.html>

<http://www.heise.de/security/meldung/So-wehren-Sie-Poodle-Angriffe-ab-2424327.html>

Viele Gruesse!
Helmut

Lesen Sie weiter auf narkive:
Loading...