man muß auch die Release Notes lesen…
Ich hab’ mal ein nmap --script ssl-enum-ciphers -p 993 mailserver
gegen mein dovecot rennen lassen, und, oh: da wird auch TLS1.0 angeboten!
Wieso das denn? in 10-ssl.conf
steht eindeutig:
ssl_protocols = !SSLv2 !SSLv3 !TLSv1
Ja, und im error-Log des dovecot steht:
config: Error: Could not find a minimum ssl_min_protocol setting from ssl_protocols = !SSLv2 !SSLv3 !TLSv1: Unrecognized protocol 'SSLv2'
Irgendwann wurde ssl_protocols
durch ssl_min_protocol
ersetzt.
Mit
ssl_min_protocol = TLSv1.2
tut es dann auch richtig.
Und was mich besonders anfrißt: OpenVAS hat an TLS1.0 nichts auszusetzen gehabt 🙁
Wir schreiben den 02.12.2020…
und über diesen Fehler bin ich auch gestolpert. Bei der Neuinstallation von Ubuntu 20.4.xx.
Irgendwann, so bis 2030 wird das bestimmt gefixt
Bis dahin haben wir dann schon TLS 2.5… 😉