[WLANnews] Jabber-Dienst des FF3L
Bernd Kalbfuss-Zimmermann
kalbfuss at gmx.net
So Apr 12 09:24:00 CEST 2015
Hallo Alex,
da bin ich auch schon drüber gestolpert. Weiterhin gibt es noch die
Option "protocol_options", mit welcher sich SSLv3 deaktivieren lässt.
Ich befürchte jedoch, die Ejabberd-Version welche mit Debian Wheezy
kommt ist zu alt. Sie wird mit 2.1.10 bezeichnet (Wie das mit der
Versionierung auf ejabberd.im zusammenhängt ist mir nicht ganz klar). In
der Dokumentation unter /usr/share/doc/ejabberd findet man diese Option
noch nicht. Ich habe es dennoch mal versucht:
{5222, ejabberd_c2s, [
{access, c2s},
{shaper, c2s_shaper},
{max_stanza_size, 65536},
%%zlib,
starttls, {certfile, "/etc/ejabberd/ejabberd.pem"},
{ciphers, "ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!3DES:!MD5:!PSK"},
{protocol_options, ["no_sslv2", "no_sslv3"]}
]},
Die Auswahl der Cipher habe ich aus [1] (Abschnitt "Modern
compatibility"). SSLv3 ist jetzt tatsächlich deaktiviert. Bei den
Ciphers hat sich allerdings nichts getan. Na ja, der nächste
Debian-Release soll ja nicht mehr fern sein. Ich denke für den Moment
kann man ohne "Forward Secrecy" leben.
LG,
Bernd
[1]
https://wiki.mozilla.org/Security/Server_Side_TLS#Modern_compatibility
[2] https://xmpp.net/result.php?domain=jabber.ff3l.net&type=client
Am Samstag, den 11.04.2015, 19:54 +0200 schrieb Alexander Dietrich:
> Es müsste die Option "ciphers" sein:
> https://www.process-one.net/docs/ejabberd/guide_en.html#htoc24
>
> Viele Grüße,
> Alexander
Mehr Informationen über die Mailingliste WLANnews