J'ai fait un test avec le serveur SMTP de gmail :
openssl s_client -connect smtp.gmail.com:995 -debug
et ç a fonctionné. Il y aura une quantité importante d'informations, y
compris des dumps d'échanges entre le serveur et le client; l'argument
-debug est probablement exagéré pour l'instant.
Ce qui est intéressant avec cette commande est qu'une fois la liaison
chiffrée établie, vous aurez l'équivalent d'un telnet sur une liaison
"en clair", vous permettant de tester manuellement votre serveur.
En ce qui concerne la désactivation de SSLv3 TLSv1.0 et TLSv1.1, j'ai
trouvé cecihttp://www.postfix.org/announcements/postfix-2.9.2.htmlhttps
://www.skyminds.net/serveur-dedie-configurer-postfix-et-courier-pour-
utiliser-tls-ssl-en-perfect-forward-secrecy/
Attention : le second lien date de 2014 et ne déconseille pas TLS 1.0
et 1.1, il faut adapter les exemples. Je garde ces liens pour mes
propres notes, car j'ai moi aussi dégrossi postfix + dovecot il y a
quelques temps. J'ai encore mes notes de brouillon d'ailleurs, que je
pourrais ressortir pour l'occasion :).
La raison de cette restriction est d'empêcher un client un peu trop
vieux de se connecter en négociant un protocole de chiffrement devenu
vulnérable, par incapacité à utiliser un protocole encore fiable. Cela
dit, c'est un peu hors du sujet. Je pense qu'il faut garder cela pour
la touche finale du chiffrement. La openssl s_client aidera de nouveau,
pour vérifier l'échec de connection avec des protocoles bannis.
Le dimanche 26 mars 2017 à 20:38 +0200, andre_deb...@numericable.fr a
écrit :
> On Sunday 26 March 2017 19:58:05 Thierry Bugier Pineau wrote:
>
> Merci de me répondre.
>
> > Essayez de diagnostiquer avec openssl
> > openssl s_client -connect serveur.org -debug :
>
> La commande me renvoie sur le help de openssl...
>
> > Plus de détail ici à propos de la commande; car il vous faudra peut
> être
> ajouter quelques arguments selon votre cas :
> > https://wiki.openssl.org/index.php/Manual:S_client(1) :
>
> Pas trop d'infos pour la syntaxe de la commande proposée... :-)
>
> > En passant, veillez à bien interdire sslv3 et tls < 1.2 côté
> serveur :
>
> Comment interdire sslv3 ?
> Sinon, j'ai adopté TLS (STARTTLS) et idem, comment interdire tls <
> 1.2 ?
>
> Merci,
>
> André
>
> > Le 26 mars 2017 19:45:28 GMT+02:00, andre_deb...@numericable.fr a
> écrit :
> > >J'ai un serveur postfix + dovecot + ssl.
> > >Il marche parfaitement avec le port POP 110,
> > >mais pas du tout en mode SSL port 995.
> > >Voici ce que me dit "tail /var/log/mail.err" :
> > >dovecot: pop3-login: Error: SSL: Stacked error:
> error:140760FC:SSL
> > >routines:SSL23_GET_CLIENT_HELLO:unknown protocol
> > >Mes certifs crt et key semblent bons.
> > >J'en ai créés d'autres mais idem.
> > >J'ai fouillé via Google, ce message m'apporte des centaines
> > >de liens mais aucun ne m'aide.
> > >Merci d'une piste... André
> >
>
>
