Konfiguration der C...
 
Notifications
Clear all

Konfiguration der Cipher Suites für STARTTLS

9 Posts
2 Users
0 Reactions
750 Views
(@samfs)
Active Member
Joined: 8 months ago
Posts: 4
Topic starter  

In diesem Best-Practice-Dokument wird der Schlüssel

HKLM:\SYSTEM\CurrentControlSet\Control\Cryptography\Configuration\Local\SSL\00010002\Functions

beschrieben, in dem die Cipher Suites hinterlegt werden, die dann von Exchange 2013 auf Windows Server 2012 und 2012 R2 verwendet bzw. akzeptiert werden sollen.

Wenn der Exchange-Server nun aber eine ausgehende SMTP-Verbindung aufbaut bietet er im TLS Handshake eine ganz andere Liste von Cipher Suites an. Gelten für STARTTLS abweichende Einstellungen und falls ja, wo befinden sich diese?

This topic was modified 8 months ago by SAMFS

   
Quote
NorbertFe
(@norbertfe)
Joined: 4 years ago
Posts: 1583
 

Andere Reihenfolge oder wie?


   
ReplyQuote

(@samfs)
Active Member
Joined: 8 months ago
Posts: 4
Topic starter  

@norbertfe Ganz andere Suites. Hier mal ein Beispiel vom Senden einer ausgehenden Mail:

Cipher Suites (9 suites)
Cipher Suite: TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 (0xc028)
Cipher Suite: TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 (0xc027)
Cipher Suite: TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (0xc014)
Cipher Suite: TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (0xc013)
Cipher Suite: TLS_RSA_WITH_AES_256_CBC_SHA (0x0035)
Cipher Suite: TLS_RSA_WITH_3DES_EDE_CBC_SHA (0x000a)
Cipher Suite: TLS_RSA_WITH_AES_128_CBC_SHA (0x002f)
Cipher Suite: TLS_RSA_WITH_RC4_128_SHA (0x0005)
Cipher Suite: TLS_RSA_WITH_RC4_128_MD5 (0x0004)

In Functions sind aber folgende hinterlegt:

TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P384
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P256
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P384
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P256
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384_P384
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384_P256
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P384
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P256
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384_P384
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384_P256
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P384
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P256
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA_P384
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA_P256
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P384
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P256
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA_P384
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA_P256
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA_P384
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA_P256
TLS_RSA_WITH_AES_256_GCM_SHA384
TLS_RSA_WITH_AES_128_GCM_SHA256

   
ReplyQuote
NorbertFe
(@norbertfe)
Joined: 4 years ago
Posts: 1583
 

Ich vermute mal, dass der empfangende Server die Reihenfolge des Clients. (Deines Servers) ignoriert und seine Reihenfolge Priorität hat. Ist es denn immer die selbe Reihenfolge, egal zu welchem Empfänger du sendest?


   
ReplyQuote

(@samfs)
Active Member
Joined: 8 months ago
Posts: 4
Topic starter  

@norbertfe Aber es ist ja unser Server, der die abweichende Liste sendet. Der andere Server hat sich dazu ja zu dem Zeitpunkt noch gar nicht geäußert.

 

Also unser Server sendet den STARTTLS-Befehl und anschließend das TLS 1.2 Client Hello mit der Liste der vorgschlagenen Cipher Suites. Und diese Liste entspricht nicht dem, was in der Registry hinterlegt ist. Habe es gerade nochmal mit drei verschiedenen Empfänger-Servern getestet, die Liste der Vorschläge ist immer dieselbe.

This post was modified 8 months ago 2 times by SAMFS

   
ReplyQuote
NorbertFe
(@norbertfe)
Joined: 4 years ago
Posts: 1583
 

Hab ich grad keine Idee. Vielleicht fällt ja jemand anderem noch was ein.


   
ReplyQuote

NorbertFe
(@norbertfe)
Joined: 4 years ago
Posts: 1583
 

Da ja irgendwie eine Nachricht fehlt, sicher, dass der Exchange Server die Ciphers sendet und nicht irgendeine Firewall oder sonstiges Relay noch beteiligt ist?


   
ReplyQuote
(@samfs)
Active Member
Joined: 8 months ago
Posts: 4
Topic starter  

Danke dir auf jeden Fall schon mal!

Eine Nachricht fehlt? Was meinst du genau?


   
ReplyQuote

NorbertFe
(@norbertfe)
Joined: 4 years ago
Posts: 1583
 

Nee hatte kurz den Überblick am Handy verloren. Alles ok. ;)


   
ReplyQuote
Share: