Konfiguration der C...
 
Benachrichtigungen
Alles löschen

Konfiguration der Cipher Suites für STARTTLS

9 Beiträge
2 Benutzer
0 Reaktionen
780 Ansichten
(@samfs)
Active Member
Beigetreten: Vor 8 Monaten
Beiträge: 4
Themenstarter  

In diesem Best-Practice-Dokument wird der Schlüssel

HKLM:\SYSTEM\CurrentControlSet\Control\Cryptography\Configuration\Local\SSL\00010002\Functions

beschrieben, in dem die Cipher Suites hinterlegt werden, die dann von Exchange 2013 auf Windows Server 2012 und 2012 R2 verwendet bzw. akzeptiert werden sollen.

Wenn der Exchange-Server nun aber eine ausgehende SMTP-Verbindung aufbaut bietet er im TLS Handshake eine ganz andere Liste von Cipher Suites an. Gelten für STARTTLS abweichende Einstellungen und falls ja, wo befinden sich diese?

Dieses Thema wurde geändert Vor 8 Monaten von SAMFS

   
Zitat
Schlagwörter für Thema
NorbertFe
(@norbertfe)
Beigetreten: Vor 4 Jahren
Beiträge: 1605
 

Andere Reihenfolge oder wie?


   
AntwortZitat

(@samfs)
Active Member
Beigetreten: Vor 8 Monaten
Beiträge: 4
Themenstarter  

@norbertfe Ganz andere Suites. Hier mal ein Beispiel vom Senden einer ausgehenden Mail:

Cipher Suites (9 suites)
Cipher Suite: TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 (0xc028)
Cipher Suite: TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 (0xc027)
Cipher Suite: TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (0xc014)
Cipher Suite: TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (0xc013)
Cipher Suite: TLS_RSA_WITH_AES_256_CBC_SHA (0x0035)
Cipher Suite: TLS_RSA_WITH_3DES_EDE_CBC_SHA (0x000a)
Cipher Suite: TLS_RSA_WITH_AES_128_CBC_SHA (0x002f)
Cipher Suite: TLS_RSA_WITH_RC4_128_SHA (0x0005)
Cipher Suite: TLS_RSA_WITH_RC4_128_MD5 (0x0004)

In Functions sind aber folgende hinterlegt:

TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P384
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P256
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P384
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P256
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384_P384
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384_P256
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P384
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P256
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384_P384
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384_P256
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P384
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P256
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA_P384
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA_P256
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P384
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P256
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA_P384
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA_P256
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA_P384
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA_P256
TLS_RSA_WITH_AES_256_GCM_SHA384
TLS_RSA_WITH_AES_128_GCM_SHA256

   
AntwortZitat
NorbertFe
(@norbertfe)
Beigetreten: Vor 4 Jahren
Beiträge: 1605
 

Ich vermute mal, dass der empfangende Server die Reihenfolge des Clients. (Deines Servers) ignoriert und seine Reihenfolge Priorität hat. Ist es denn immer die selbe Reihenfolge, egal zu welchem Empfänger du sendest?


   
AntwortZitat

(@samfs)
Active Member
Beigetreten: Vor 8 Monaten
Beiträge: 4
Themenstarter  

@norbertfe Aber es ist ja unser Server, der die abweichende Liste sendet. Der andere Server hat sich dazu ja zu dem Zeitpunkt noch gar nicht geäußert.

Also unser Server sendet den STARTTLS-Befehl und anschließend das TLS 1.2 Client Hello mit der Liste der vorgschlagenen Cipher Suites. Und diese Liste entspricht nicht dem, was in der Registry hinterlegt ist. Habe es gerade nochmal mit drei verschiedenen Empfänger-Servern getestet, die Liste der Vorschläge ist immer dieselbe.

Diese r Beitrag wurde geändert Vor 8 Monaten 2 mal von SAMFS

   
AntwortZitat
NorbertFe
(@norbertfe)
Beigetreten: Vor 4 Jahren
Beiträge: 1605
 

Hab ich grad keine Idee. Vielleicht fällt ja jemand anderem noch was ein.


   
AntwortZitat

NorbertFe
(@norbertfe)
Beigetreten: Vor 4 Jahren
Beiträge: 1605
 

Da ja irgendwie eine Nachricht fehlt, sicher, dass der Exchange Server die Ciphers sendet und nicht irgendeine Firewall oder sonstiges Relay noch beteiligt ist?


   
AntwortZitat
(@samfs)
Active Member
Beigetreten: Vor 8 Monaten
Beiträge: 4
Themenstarter  

Danke dir auf jeden Fall schon mal!

Eine Nachricht fehlt? Was meinst du genau?


   
AntwortZitat

NorbertFe
(@norbertfe)
Beigetreten: Vor 4 Jahren
Beiträge: 1605
 

Nee hatte kurz den Überblick am Handy verloren. Alles ok. ;)


   
AntwortZitat
Teilen: