ejabberd starttls_required in c2s / s2s et désactivez SSLv3 + Ciphers non sécurisés

J'utilise ejabberd sur Ubuntu. Ma configuration ressemble à ceci:

{5269, ejabberd_s2s_in, [ {shaper, s2s_shaper}, {max_stanza_size, 131072}, starttls_required ]}, {5222, ejabberd_c2s, [ {access, c2s}, {shaper, c2s_shaper}, {max_stanza_size, 65536}, starttls_required, starttls, {certfile, "./xmpp.pem"} ]}, {s2s_use_starttls, true}. {s2s_certfile, "./xmpp.pem"}. 

Still xmpp.net montre que s2s TLS n'est pas "requirejs" mais seulement "autorisé". En outre, SSLv3 est activé pour c2s et s2s et certains numbers précaires comme RC4.

Comment puis-je désactiver SSLv3 et RC4, et forcer les start-ups sur toutes les connections?

Merci!

2 Solutions collect form web for “ejabberd starttls_required in c2s / s2s et désactivez SSLv3 + Ciphers non sécurisés”

Demander StartTLS:

{s2s_use_starttls, require}. au lieu de {s2s_use_starttls, true}. (Gardez à l'esprit que cela vous empêchera de vous connecter à gmail.com et à tous les domaines qu'ils hébergent).

Des numbers faibles:

Voir http://www.process-one.net/docs/ejabberd/guide_fr.html#sec27 . Je pense que cela signifie faire quelque chose comme append {ciphers, "..."} aux options ejabberd_c2s . Vérifiez avec openssl ciphers -V '...' pour voir ce qui définit une string de chiffrement va permettre.

Pour autant que je puisse le dire, il n'est pas possible de désactiver SSLv3 sans recomstackr votre exabberd vous-même. Voir une discussion ici .

C'est une question ancienne, mais je voulais append une réponse mise à jour pour toute personne recherchant et en find, mais en utilisant une version plus moderne d'ejabberd (14.12 au moment de la rédaction de ce document). Les options suivantes (dans le nouveau format de configuration YAML) doivent permettre de démarrer les opérations, modifier la list des numbers sur quelque chose de décent et désactiver le support SSL hérité pour les connections s2s:

 s2s_use_starttls: required s2s_ciphers: "HIGH:!3DES:!aNULL:!SSLv2:@STRENGTH" s2s_protocol_options: - "no_sslv2" - "no_sslv3" 

Pour les connections c2s, vous pouvez faire quelque chose de similaire, sauf qu'il passe sous la directive écoute c2s:

 - port: 5222 module: ejabberd_c2s protocol_options: - "no_sslv2" - "no_sslv3" ciphers: ... 
  • Charger le trafic xmpp du bilan vers plusieurs nœuds dans le backend
  • Capturer le trafic de nimbuzz
  • Obtenir la string de certificates SSL depuis le server jabber
  • SendXMPP sur le server Ubuntu 12.04 LTS
  • configurer ejabberd pour un chat multi-user?
  • server xmpp dans Azure
  • eJabberd et GTalk ne se fédèrent plus. Google a-t-il supprimé le server XMPP server-to-server?
  • Je ne peux pas save un user sur ejabberd avec postgresql
  • MUC avec roundcube-mail converse.js plugin
  • Comment configurer le server de manière à ce que tout le trafic XMPP passe sur Google Chat? (Google Apps vs Gmail)
  • Comment configurer des servers exabberd redondants?
  • Les astuces du serveur de linux et windows, tels que ubuntu, centos, apache, nginx, debian et des sujets de rĂ©seau.