ejabberd starttls_required in c2s / s2s et désactivez SSLv3 + Ciphers non sécurisés

J'utilise ejabberd sur Ubuntu. Ma configuration ressemble à ceci:

{5269, ejabberd_s2s_in, [ {shaper, s2s_shaper}, {max_stanza_size, 131072}, starttls_required ]}, {5222, ejabberd_c2s, [ {access, c2s}, {shaper, c2s_shaper}, {max_stanza_size, 65536}, starttls_required, starttls, {certfile, "./xmpp.pem"} ]}, {s2s_use_starttls, true}. {s2s_certfile, "./xmpp.pem"}. 

Still xmpp.net montre que s2s TLS n'est pas "requirejs" mais seulement "autorisé". En outre, SSLv3 est activé pour c2s et s2s et certains numbers précaires comme RC4.

Comment puis-je désactiver SSLv3 et RC4, et forcer les start-ups sur toutes les connections?

Merci!

Demander StartTLS:

{s2s_use_starttls, require}. au lieu de {s2s_use_starttls, true}. (Gardez à l'esprit que cela vous empêchera de vous connecter à gmail.com et à tous les domaines qu'ils hébergent).

Des numbers faibles:

Voir http://www.process-one.net/docs/ejabberd/guide_fr.html#sec27 . Je pense que cela signifie faire quelque chose comme append {ciphers, "..."} aux options ejabberd_c2s . Vérifiez avec openssl ciphers -V '...' pour voir ce qui définit une string de chiffrement va permettre.

Pour autant que je puisse le dire, il n'est pas possible de désactiver SSLv3 sans recomstackr votre exabberd vous-même. Voir une discussion ici .

C'est une question ancienne, mais je voulais append une réponse mise à jour pour toute personne recherchant et en find, mais en utilisant une version plus moderne d'ejabberd (14.12 au moment de la rédaction de ce document). Les options suivantes (dans le nouveau format de configuration YAML) doivent permettre de démarrer les opérations, modifier la list des numbers sur quelque chose de décent et désactiver le support SSL hérité pour les connections s2s:

 s2s_use_starttls: required s2s_ciphers: "HIGH:!3DES:!aNULL:!SSLv2:@STRENGTH" s2s_protocol_options: - "no_sslv2" - "no_sslv3" 

Pour les connections c2s, vous pouvez faire quelque chose de similaire, sauf qu'il passe sous la directive écoute c2s:

 - port: 5222 module: ejabberd_c2s protocol_options: - "no_sslv2" - "no_sslv3" ciphers: ...