Hallo Liste,
ich begreifs gerade nicht ...
gegeben: - 2 Server, Debian 11 + openssl + dovecot + postfix - 10-ssl.conf von beiden dovecots md5 identisch - /etc/ssl/openssl.cnf auf beiden Kisten md5 identisch - main.cf auf beiden Kisten an den SSL-Parametern identisch, auch das gleiche wildcard Zertifikat im Einsatz - dpkg -l auf beiden Kisten identisch
Ohne Login (last) und ohne reboot sowie mit dovecot und postox-Diensten, die laut 'ps' seit 13.3. laufen, können wir seit gestern 22:30 Uhr rum mit der einen Kiste kein POP3s, IMAPs, SMTP_TLS mehr machen wegen "no shared cipher". Ich habe bei postfix und dovecot nun von der, durch mich eingegrenzten, ciper-Auswahl auf die defaults gewechselt und es geht wieder. Ja es war M$-Patchday, aber auch thunderbird, ungepatchte Windos/Outlook und fetchmail sind als Clients betroffen.
Was kann dem dem postfix/dovecot-openssl-Stack fehlen, dass plötzlich die ciphers nicht mehr "da" sind? Die identische Konfiguration geht ja auf dem zweiten Server. Ideen?
Mit freundlichen Grüßen / Kind regards Ronny Seffner
Da lief ein acme-cron-script, welches das wildcard-Zertifiakt neu beantragt (aber noch nicht auf den zweiten Server ausgerollt) hat.
Damit weiß ich schonmal, wer/was zur gegebene Zeit am Server "rumgepopelt" hat.
Konkretisiert sich die Frage auf : was hat das Zertifikat mit den einsetzbaren Ciphers zu tun? Was kann ich tun um ein Zertifikat zu erhalten, welches wieder mit "meiner" Cipher-Auswahl tut?
Mit freundlichen Grüßen / Kind regards Ronny Seffner
Hallo Ronny,
gabs evtl. openssl-Updates / wurden da eingespielt?
Wenn danach die daran hängenden (Mailserver)dienste nicht neugestartet werden, können diese erfahrungsgemäß durchaus im laufenden Betrieb mit solchen Fehlerbildern auseinanderfallen.
Wenn Zertifikate getauscht werden, sollten die Dienste logischerweise auch neugestartet werden.
Für sowas empfiehlt sich "needrestart" mit den entsprechenden apt- hooks. Das hat zwar auch paar Macken / liegt nicht immer richtig, idR tuts aber den Job.
Grüße,
Falk
On Thu, 2023-03-16 at 12:06 +0100, ronny@seffner.de wrote:
Hallo Liste,
ich begreifs gerade nicht ...
gegeben:
- 2 Server, Debian 11 + openssl + dovecot + postfix
- 10-ssl.conf von beiden dovecots md5 identisch
- /etc/ssl/openssl.cnf auf beiden Kisten md5 identisch
- main.cf auf beiden Kisten an den SSL-Parametern identisch, auch das
gleiche wildcard Zertifikat im Einsatz
- dpkg -l auf beiden Kisten identisch
Ohne Login (last) und ohne reboot sowie mit dovecot und postox- Diensten, die laut 'ps' seit 13.3. laufen, können wir seit gestern 22:30 Uhr rum mit der einen Kiste kein POP3s, IMAPs, SMTP_TLS mehr machen wegen "no shared cipher". Ich habe bei postfix und dovecot nun von der, durch mich eingegrenzten, ciper-Auswahl auf die defaults gewechselt und es geht wieder. Ja es war M$-Patchday, aber auch thunderbird, ungepatchte Windos/Outlook und fetchmail sind als Clients betroffen.
Was kann dem dem postfix/dovecot-openssl-Stack fehlen, dass plötzlich die ciphers nicht mehr "da" sind? Die identische Konfiguration geht ja auf dem zweiten Server. Ideen?
Mit freundlichen Grüßen / Kind regards Ronny Seffner
gabs evtl. openssl-Updates / wurden da eingespielt?
Sowas ist im Abgleich last vs. Dpkg.log eben nicht auffällig.
Für sowas empfiehlt sich "needrestart" mit den entsprechenden apt-
Hier rennt dann einmal ansible über die Kisten und verteilt das wildcard bis in die M$-Welt hinein.
Der public key im bisherigen Zertifikat war irgendwas mit RSA und 4kBit groß, jetzt im neuen ist das irgendwas mit EC/ED und nur 384Bit.
Ich habe mir von mozilla für meine Dienste einfach aktuelle "medium" Empfehlungen geholt und die "eingebaut". Jetzt rennen alle Dienste wieder und die Clients weinen nicht mehr.
Nur restlos verstanden habe ich den Hokus-Pokus nicht. Es hat ja nach immer das neue Zertifikat, die bis dato funktionierenden Ciphers "ungültig" gemacht.
Mit freundlichen Grüßen / Kind regards Ronny Seffner
Hallo Ronny,
Am 16.03.23 um 18:29 schrieb ronny@seffner.de:
Der public key im bisherigen Zertifikat war irgendwas mit RSA und 4kBit groß, jetzt im neuen ist das irgendwas mit EC/ED und nur 384Bit.
Bei ECDSA sind die Keys deutlich kürzer, das ist normal.
Nur restlos verstanden habe ich den Hokus-Pokus nicht. Es hat ja nach immer das neue Zertifikat, die bis dato funktionierenden Ciphers "ungültig" gemacht.
Für ECDSA werden andere Ciphers verwendet als bei RSA. Das ist mir aus den entsprechenden Einstellungen beim Apache geläufig, wo das auch leicht bei https://www.ssllabs.com/ssltest/index.html zu testen ist. Das trifft aber genauso auf die Mailprotokolle zu, da sich die Einstellungen/Sicherheitslücken auf SSL/TLS beziehen.
Passende Einstellungen kann man sich hier zusammenstellen lassen: https://ssl-config.mozilla.org/
Wenn die Ciphers-Liste bei Dovecot/postfix keine kompatiblen Ciphers mehr enthält, dann passiert wollen die Clients auch nicht mehr mitspielen.
Gruß Rico
lug-dd@mailman.schlittermann.de
-
Falk Herzog -
Rico Koerner -
ronny@seffner.de