|
Про настройки по-умолчанию я погорячился, на CGP была установлена галка Send Encrypted (SSL/TLS): wherever possible (low security) про которую в справке есть предупреждение.
А вот что ответили в TAC:
Unfortunately, it looks like possibly starting in 11.x we removed support for any RC4 ciphers. Since the ESA does not support any of the ciphers that the <CGP> server is offering in the Client Hello, we then throw the error regarding no_shared_cipher.
At this time, the only way to resolve this would be to enable additional and more secure ciphers on the <CGP> server. I will also work on creating a defect to remove the fact that the ESA makes it seem like we do support these RC4 ciphers when we do in fact not.
-----Original Message-----
From: CommuniGate Pro Russian Discussions [mailto:CGatePro@ru.stalker.com]
Sent: Monday, August 28, 2017 10:30 AM
To: CommuniGate Pro Russian Discussions <CGatePro@ru.stalker.com>
Subject: Re: [CGP] CommuniGate Pro 6.1.17 is released
Паранойя волнует в последнюю очередь, но CGP с настройками по-умолчанию стал несовместим с актуальной версией популярнейшего антиспам-шлюза (это бывший Ironport).
Возможно в Cisco поспешили и я могу открыть тикет, если будет конкретика.
В ESA 11.0.0-264 такой набор шифров, SSLv2 и SSLv3 отключены:
<удалено>
-----Original Message-----
From: CommuniGate Pro Russian Discussions [mailto:CGatePro@ru.stalker.com]
Sent: Friday, August 25, 2017 9:32 PM
To: CommuniGate Pro Russian Discussions <CGatePro@ru.stalker.com>
Subject: Re: [CGP] CommuniGate Pro 6.1.17 is released
Здравствуйте,
On 2017-08-25 20:54, Mikhail Tolkonyuk wrote:
> Так заработало, спасибо!
> Хотя всё равно странно, что у них не нашлось общих шифров и как связаны "CBC Ciphers" с включением AES.
CBC режим, в котором обычно используется AES, считается небезопасным с TLS 1.0 (RC4 оказывается более надёжным), а TLS 1.0 у нас по умолчанию предлагается в исходящих соединениях, дабы не вводить в искушение некоторые TLS реализации, которые со старшими версиями начинают хотеть расширений, необязательных с точки зрения стандарта, или просто ломаются и бросают соединение.
И вообще, вопрос это философский. Всё, что считается небезопасным, взламывается в разумное время усилиями либо достаточно большой корпорации, либо не очень мальнького государства. Что такого интересного вы передаёте с сервера до своей циски, чтобы обязательным был класс А от ssllabs? Если эти же данные лежат нешифрованными либо у отправителя, либо у получателя нешифрованными, и любой из них с готовностью всё расшифрует, если им показать либо горячий паяльник, либо холожную голову с ксивой?
До 6.1.17 всё равно обновитесь, там закрыты более реальные уязвимости в web клиентах.
> -----Original Message-----
> From: CommuniGate Pro Russian Discussions
> [mailto:CGatePro@ru.stalker.com]
> Sent: Friday, August 25, 2017 8:30 PM
> To: CommuniGate Pro Russian Discussions <CGatePro@ru.stalker.com>
> Subject: Re: [CGP] CommuniGate Pro 6.1.17 is released
>
> Здравствуйте.
>
> On 2017-08-25 20:07, Mikhail Tolkonyuk wrote:
>> А какой сейчас набор шифров для TLS? И можно ли как-то их настроить для исходящих соединений?
>>
>> С Cisco ESA 11.0.0 он смог договориться на TLSv1.0,DHE_AES256_SHA только после установки галки "CBC Ciphers for old TLS". Без неё ломился с SSLv3 и каким-то старым шифром, которого та не понимает и его не показывает в All Info.
>
> А по какому протоколу?
> Если SMTP, то можно запустить сервер с --SMTPOutgoingTLSVersion 2
>
>> -----Original Message-----
>> From: CommuniGate Pro Russian Discussions
>> [mailto:CGatePro@ru.stalker.com]
>> Sent: Friday, August 25, 2017 6:11 PM
>> To: CommuniGate Pro Russian Discussions <CGatePro@ru.stalker.com>
>> Subject: Re: [CGP] CommuniGate Pro 6.1.17 is released
>>
>> Здравствуйте.
>>
>> Настоятельно рекомендуется обновление до этой версии, особенно если используется интерфейс Pronto HTML.
>>
>> On 2017-08-25 18:00, support wrote:
>>> Minor/Bug fix Release
>>>
>>> The CommuniGate Pro 6.1.17 has been released:
>>>
>>> == Valid Core License Keys: issued after the 1st of Feb, 2014 ==
>>>
>>> This version is higly recommended for deployment as it includes protection from possible attacks to WebUser (regular and Pronto) sessions.
>> []
>>>
>>> History:
>>> 6.1.17 25-Aug-2017
>>>
>>>
>>> * Pronto: Pronto! HTML Version 6.1.17 is included.
>>> * MAPI: the MAPI Connector version 1.54.12.18 is included.
>>> * WEBSKIN: extra protection from WebUser session stealing and cross-site scripting.
>>> * WEBUSER: extra protection from WebUser session stealing and cross-site scripting.
>>> * CALENDAR: updates to recurring items are processed even if original item is missing.
>>> * TLS 1.2 compatibility with other implementations has been improved.
>>> * SMTP: attacker IP is blacklisted also when errors are made in separate sessions.
>>> * AIRSYNC: added workaround for task updates that miss task start time.
>>> * Bug Fix: SMTP: some locally generated messages might be considered as relayed and blocked with restricted relaying settings.
>>> * Bug Fix: HTTP: some requests with chunked encoding proxied to cluster backends might be processed incorrectly.
>>> * Bug Fix: TLS: the server might crash on TLS handshake with incorrect elliptic curves parameters.
> --
> Best regards,
> Dmitry Akindinov
>
--
Best regards,
Dmitry Akindinov
##################################################################
Вы получили это сообщение потому, что подписаны на список рассылки
<CGatePro@ru.stalker.com>.
Чтобы отписаться, отправьте сообщение на адрес <CGatePro-off@ru.stalker.com> Чтобы переключиться в режим дайджеста - mailto:<CGatePro-digest@ru.stalker.com>
Чтобы переключиться в индексный режим - mailto:<CGatePro-index@ru.stalker.com>
Для административных запросов адрес <CGatePro-request@ru.stalker.com> Архив списка: http://ru.stalker.com/lists/CGatePro/list.html
|
|