← Back to branch summary

~ubuntu-branches/ubuntu/saucy/postfix/saucy

« back to all changes in this revision

Viewing changes to proto/TLS_README.html

  • Committer: Bazaar Package Importer
  • Author(s): LaMont Jones
  • Date: 2011-02-22 11:20:43 UTC
  • mfrom: (1.1.27 upstream)
  • Revision ID: james.westby@ubuntu.com-20110222112043-c34ht219w3ybrilr
Tags: 2.8.0-2
* a little more lintian cleanup
* Fix missing format strings in smtp-sink.c

Show diffs side-by-side

added added

removed removed

Lines of Context:
proto/TLS_README.html
27
27
own code, every 1000 lines introduce one additional bug into
28
28
Postfix.  </p>
29
29
 
 
30
<p> At this time, you should no longer be using OpenSSL releases prior
 
31
to the most recent 0.9.8 release unless all relevant security fixes have
 
32
been backported to the earlier release by you or your O/S vendor. OpenSSL
 
33
0.9.7 and earlier are no longer maintained by the OpenSSL team. </p>
 
34
 
30
35
<h2> What Postfix TLS support does for you </h2>
31
36
 
32
37
<p> Transport Layer Security (TLS, formerly called SSL) provides
852
857
</pre>
853
858
</blockquote>
854
859
 
 
860
<p> Postfix 2.8 and later, in combination with OpenSSL 0.9.7 and later
 
861
allows TLS servers to preempt the TLS client's cipher preference list.
 
862
This is only possible with SSLv3, as in SSLv2 the client chooses the
 
863
cipher from a list supplied by the server. </p>
 
864
 
 
865
<p> By default, the OpenSSL server selects the client's most preferred
 
866
cipher that the server supports. With SSLv3 and later, the server
 
867
may choose its own most preferred cipher that is supported (offered)
 
868
by the client. Setting "tls_preempt_cipherlist = yes" enables server
 
869
cipher preferences. The default OpenSSL behaviour applies with
 
870
"tls_preempt_cipherlist = no". </p>
 
871
 
 
872
<p> While server cipher selection may in some cases lead to a more secure
 
873
or performant cipher choice, there is some risk of interoperability
 
874
issues. In the past, some SSL clients have listed lower priority ciphers
 
875
that they did not implement correctly. If the server chooses a cipher
 
876
that the client prefers less, it may select a cipher whose client
 
877
implementation is flawed. </p>
 
878
 
855
879
<h3><a name="server_misc"> Miscellaneous server controls</a> </h3>
856
880
 
857
881
<p> The smtpd_starttls_timeout parameter limits the time of Postfix
867
891
</pre>
868
892
</blockquote>
869
893
 
 
894
<p> With Postfix 2.8 and later, the tls_disable_workarounds parameter
 
895
specifies a list or bit-mask of OpenSSL bug work-arounds to disable. This
 
896
may be necessary if one of the work-arounds enabled by default in
 
897
OpenSSL proves to pose a security risk, or introduces an unexpected
 
898
interoperability issue. Some bug work-arounds known to be problematic
 
899
are disabled in the default value of the parameter when linked with
 
900
an OpenSSL library that could be vulnerable. </p>
 
901
 
 
902
<p> Example: </p>
 
903
 
 
904
<blockquote>
 
905
<pre>
 
906
/etc/postfix/main.cf:
 
907
    tls_disable_workarounds = 0xFFFFFFFF
 
908
    tls_disable_workarounds = CVE-2010-4180, LEGACY_SERVER_CONNECT
 
909
</pre>
 
910
</blockquote>
 
911
 
 
912
<p> Note: Disabling LEGACY_SERVER_CONNECT is not wise at this
 
913
time, lots of servers are still unpatched and Postfix is <a
 
914
href="http://www.postfix.org/wip.html#tls-renegotiation">not
 
915
significantly vulnerable</a> to the renegotiation issue in the TLS
 
916
protocol. </p>
 
917
 
870
918
<h2> <a name="client_tls">SMTP Client specific settings</a> </h2>
871
919
 
872
920
<p> Topics covered in this section: </p>