Author Topic: Как включить поддержку TLS v1.1 на почтовом сервере Zentyal  (Read 2717 times)

tunsa

  • Zen Samurai
  • ****
  • Posts: 350
  • Karma: +15/-1
    • View Profile
Всем доброго дня!

Подскажите пожалуйста сейчас на сервере использую TLS v1.0. Делаю проверку командой

Code: [Select]
openssl s_client -starttls smtp -connect mail.my.ru:25 -tls1получаю выхлоп
что все норм, сертификат есть все поддерживает

Делаю проверку командой для TLS v1.1

Code: [Select]
openssl s_client -starttls smtp -connect mail.my.ru:25 -tls1_1
CONNECTED(00000003)
139677143226008:error:1408F10B:SSL routines:SSL3_GET_RECORD:wrong version number:s3_pkt.c:362:
---
no peer certificate available
---
No client certificate CA names sent
---
SSL handshake has read 205 bytes and written 7 bytes
---
New, (NONE), Cipher is (NONE)
Secure Renegotiation IS NOT supported
Compression: NONE
Expansion: NONE
No ALPN negotiated
SSL-Session:
    Protocol  : TLSv1.1
    Cipher    : 0000
    Session-ID:
    Session-ID-ctx:
    Master-Key:
    Key-Arg   : None
    PSK identity: None
    PSK identity hint: None
    SRP username: None
    Start Time: 1605078517
    Timeout   : 7200 (sec)
    Verify return code: 0 (ok)
---


Клиент не может отправить нам письмо из техподдержка написала нам. Проверить криптографический протокол Вашего почтового сервера: TLS должен быть версии 1.1 или выше. Как разрешить или установить поддержку TLS 1.1 в интернете не нашли норм информации.

Zhmak

  • Zen Apprentice
  • *
  • Posts: 4
  • Karma: +1/-0
    • View Profile
Присоединяюсь к вопросу.
Zentyal 7.1 на ubuntu 20.04 openssl 1.1.1f
Отключены TLS ниже 1.2, древние клиенты под Windows XP не могут подключиться к серверу.

Вроде как в Ubuntu 20.04 отключена поддержка старых TLS, но как их включить? Добавление в /etc/ssh/openssl.cnf секций:

[ default_conf ]
ssl_conf = ssl_sect

[ ssl_sect ]
system_default = system_default_sect

[ system_default_sect ]
MinProtocol = TLSv1
# Be less secure when negotiating ciphers, verifying certificates, etc.
CipherString = DEFAULT@SECLEVEL=1

И последующий перезапуск dovecot не приводит к нужному эффекту - работает tls1.2 и новее.

Zhmak

  • Zen Apprentice
  • *
  • Posts: 4
  • Karma: +1/-0
    • View Profile
Был неправ. Манипуляция с cnf файлом действительно включает поддержку старых TLS.
НО! Проверять её надо с openssl1.X

Если проверять с OpenSSL3.X, то работать всё равно не будет, так как поддержка старых TLS убрана из кода клиента физически.

Второй момент, для XP клиентов ещё надо включать древние шифры.
Набор шифров можно сгенерировать здесь https://ssl-config.mozilla.org/