我想减轻POODLE的危害。 在我的courier-imap服务器上。 我知道该怎么做。 我真的很担心它会如何影响MUA,特别是老年人。 仍然有用户在Windows XP中使用Outlook Express 6。 有没有分析哪个MUA将停止使用SSLv3从服务器端closures? 或者,也许这是完全安全的行动?
上周试过了,我的经验是打破了很多客户。 现代的Outlook支持TLS是真实的,但它认为这意味着以明文开始然后升级到encryption 。 TLS可以用作从头算子的思想似乎已经逃脱了; 每当我selectTLS,它坚持要使用IMAP端口143,而不是IMAP / S端口993.虽然我承认没有Windowspipe理员,我无法相信,否则,因为我不希望任何暴露端口143,这相当阻碍了我。
Android手机上的K-9邮件(v5.001)也打破了。 Linux下的ALPINE(2.11)当然是好的。 我不能在任何平台上为Thunderbird说话,因为当我的用户(包括我的妻子)弯腰时,我被说服了。
我所看到的大部分分析表明,目前还没有已知的基于IMAP / POP的SSLv3攻击。 我的新计划是在994港口build立第二个dovecot
, 只做 TLS,轻轻地让我的用户find为他们工作的客户。 如果我看到有关野外邮件攻击的报道,那么“ 温和 ”可能会更有力。
编辑以解决mc0e的评论如下:
你们是一个常见的误解,也是我多年来遭受的一个错误观念。 但是,TLS只能用于通过明文升级进行encryption的看法是错误的,因为它是常见的。
考虑:POODLE缓解依赖于为HTTPS服务器禁用SSLv3; 缓解的服务器只能说TLS。 除非你认为HTTPS刚刚成为了POODLE之前没有的明文优先阶段,并且世界上所有的Web浏览器在连接到TCP端口443时突然改变了行为(它没有,而且没有;启动wireshark并看到),然后TLS正在使用从一开始就encryption的会话。 TLS肯定支持从明文升级,但它也可以用于从头encryption – 尽pipe各种客户端软件包的思想。
编辑2 :mc0e,我同意, STARTTLS
绝对限于初始纯文本服务。 但是,这不是讨论中的问题,也不是许多客户使用的术语。 对于他们来说,对于很多人来说, STARTTLS
和TLS
是一回事; 我的观点是他们不是; 后者是前者的纯粹超集。
那些认为encryption的非Web服务从SSLv3切换开来很容易的人“ 因为客户端支持TLS ”可能会遇到问题,因为客户端的真正含义是它支持“ STARTTLS
encryption升级”,而不是“TLS作为从头encryption连接和从明文上升的密码“。
Outlook Express支持TLS和SSL。 所以删除SSlv3会影响那些设置使用SSL的人。 切换到使用TLS应该做的伎俩。
SSLv3和TLS一样老,大多数邮件客户端都支持TLS,所以我不用担心。 POODLE也影响XPsp2及以下,所以如果你可以告诉人们升级到SP3和即将再次工作。