1

После недавнего обновления до openssl-1.1.0c я больше не могу подключаться к IMAP-серверу на работе. Подключение к другим IMAP-серверам (например, imap.gmx.de:993) работает без проблем, используя точно такую же команду.

При попытке подключиться к серверу используя

openssl s_client -connect mbox.uni-stuttgart.de:993

Я получаю следующую ошибку:

CONNECTED(00000003)
140093138867328:error:14094417:SSL routines:ssl3_read_bytes:sslv3 alert illegal parameter:ssl/record/rec_layer_s3.c:1388:SSL alert number 47

Сервер работает под управлением CommuniGate Pro Suite.

Вот что я проверил до сих пор:

  • Подключение с другой машины с OpenSSL 1.0.1t работает безупречно.
  • Подключение к другим защищенным сервисам на той же целевой машине, которые предлагают SSLv3 (не связан с электронной почтой: сервер Apache), работает безупречно.

Будем весьма благодарны за любые подсказки о том, почему подключение к службам, связанным с электронной почтой, приводит к указанной выше ошибке!

1 ответ1

1

Сервер поддерживает только DES-CBC3-SHA, RC4-SHA и RC4-MD5 в качестве шифров. Эти шифры больше не считаются безопасными и, следовательно, они не содержатся в наборе шифров по умолчанию в OpenSSL 1.1.0. Из журнала изменений 1.1.0:

... Для смягчения атаки SWEET32 (CVE-2016-2183) комплекты шифров 3DES по умолчанию отключены и удалены из DEFAULT.
... Шифраторы libssl на базе RC4 теперь классифицируются как "слабые" и по умолчанию отключены.

Вы все еще должны иметь возможность подключиться к серверу, явно разрешив эти шифры, т.е.

 openssl s_client -cipher 'RC4-SHA' ...

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .