Am 15.08.2013 13:18, schrieb Jochen via postfix-users:
Ich hab mich jetzt noch ein bisschen durch die Materie gegoogelt.
Laut diesem Artikel: http://www.heise.de/security/artikel/Forward-Secrecy-testen-und-einrichten-1...
Bietet Diffie-Hellmann die Forward Secrecy. Aber ich glaube das ist nicht ganz korrekt, ich denke es kommt auf den Zusatz "Ephemeral" an, wie man anderen Quellen entnehmen kann.
Wenn man sich diese Liste anschaut: http://www.proftpd.org/docs/directives/linked/config_ref_TLSCipherSuite.html
scheint ADH das "Ephemeral" nicht zu besitzen. Ist aber nur eine Vermutung von mir. Mist dass man überall nur so Andeutungen erfährt, aber nie was Genaues.
Nach meinen Beobachtungen scheint das ADH bei den meisten Mailservern oberste Priorität zu haben (wegen dem geringsten Overhead), EDH kommt erst an zweiter Stelle.
Seit ich mit aNULL alle anonymen Verfahren verbiete, bekomme ich jetzt viel häufiger EDH Verbindungen hin.
Kann das jemand bestätigen? Gibt es "elegantere" Möglichkeiten ADH zu verhindern und EDH zu bevorzugen?
ich denke du kannst nur die Liste der verfuegbaren Cipher einschraenken mit dem Risiko das gar nicht ,oder nicht verschluesselt verbunden wird vermutlich ist es auch von der verwendeten openssl version abhaengig bzw vom coder welche Verbindungsart prefferiert wird
Best Regards MfG Robert Schetterer