Neuer Thread
Ansicht umschalten Baum an
Avatar von reichhart
  • reichhart

mehr als 1000 Beiträge seit 06.01.2000

iOS 9 vollständige CipherSuite für IMAP gegen OpenSSL 1.0.1

reichhart schrieb am 26.05.2016 01:04:

Selbst bei iOS 9 habe ich z.B. bei IMAP keine Cipher mit z.B. SHA256 hinbekommen.

Um das nochmal unabhängig vom IMAP-Server (und den anderen Servern mit hohen Ciphers im Log) zu testen, habe ich diesen gestoppt und mittels s_server (OpenSSL 1.0.1) gelauscht.

Der erste Aufruf war dieser:

# openssl1 s_server -cert /etc/pki/tls/xxx.crt -key /etc/pki/tls/xxx.key -dhparam dh_params.pem -accept 993 -no_ssl2 -no_ssl3 -cipher ALL

Mit dieser Methode benötigt man auch keinen eigenen Server, was auch das OS X Terminal mittels "man s_server" erklärt.

Beim ersten Connect erhielt ich ECDHE-RSA-AES256-SHA als Cipher. Diese habe ich nach "ALL" dann excluded und weiter iteriert.

Der letzte Aufruf sah so aus:

# openssl1 s_server -cert /etc/pki/tls/xxx.crt -key /etc/pki/tls/xxx.key -dhparam dh_params.pem -accept 993 -no_ssl2 -no_ssl3 -cipher 'ALL:!ECDHE-RSA-AES256-SHA:!ECDHE-RSA-AES128-SHA:!ECDHE-RSA-DES-CBC3-SHA:!DHE-RSA-AES256-SHA:!DHE-RSA-AES128-SHA:!EDH-RSA-DES-CBC3-SHA:!AES256-SHA:!AES128-SHA:!DES-CBC3-SHA:!ECDHE-RSA-RC4-SHA:!RC4-SHA:!RC4-MD5'

Bei diesem Aufruf war die Iteration beendet, da keine gemeinsame Cipher übrig blieb (cipher server preference habe ich absichtlich deaktiviert gelassen).

Damit ergibt sich diese Cipher Preference für iOS9 gegen einen OpenSSL-1.0.1-Server:

TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (ECDHE-RSA-AES256-SHA) TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (ECDHE-RSA-AES128-SHA) TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA (ECDHE-RSA-DES-CBC3-SHA) TLS_DHE_RSA_WITH_AES_256_CBC_SHA (DHE-RSA-AES256-SHA) TLS_DHE_RSA_WITH_AES_128_CBC_SHA (DHE-RSA-AES128-SHA) TLS_DHE_RSA_WITH_3DES_EDE_CBC_SHA (EDH-RSA-DES-CBC3-SHA) TLS_RSA_WITH_AES_256_CBC_SHA (AES256-SHA) TLS_RSA_WITH_AES_128_CBC_SHA (AES128-SHA) TLS_RSA_WITH_3DES_EDE_CBC_SHA (DES-CBC3-SHA) TLS_ECDHE_RSA_WITH_RC4_128_SHA (ECDHE-RSA-RC4-SHA) TLS_RSA_WITH_RC4_128_SHA (RC4-SHA) TLS_RSA_WITH_RC4_128_MD5 (RC4-MD5)

Mit der gleichen Lib machen andere Clients beim selben IMAP-Server starke Ciphers wie ECDHE-RSA-AES256-GCM-SHA384 oder DHE-RSA-AES256-GCM-SHA384 (DH-TempKey 2048 bits).

Bewerten - +
Anzeige