Willkommen im User-Forum von mailbox.org
 

Unterstützung für CHACHA20_POLY1305

8579330 hat dies geteilt, 3 Jahren her
vorgeschlagen

Mailbox.org unterstützt momentan bereits OLD_TLS_DHE_RSA_WITH_CHACHA20_POLY1305_SHA256

und

OLD_TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256


Die Verwendung der neuen Streamcipher ist auch besonders für mobile Geräte sehr lobenswert, und seit kurzem unterstützt auch Firefox den neuen Standart.

Allerdings verwendet mailbox.org noch den etwas älteren Stand der Cipher aus dem Draft des Standartisierungsvorschlags und Firefox unterstützt den offiziellen neuen Standard, sodass diese Methode nicht verwendet werden kann.


Zum Vergleich bei Firefox:

TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256


Daher der Vorschlad, bzw. die Konfiguration anzupassen damit der offizielle Standard auch mit Firefox und künfiten Implementierung genutzt werden kann.

Kommentare (3)

Foto
1

Wenn das LibreSSL Team eine aktuelle Version mit den ChaCha20-Poly1305 released, werden wir sie installieren. Derzeit weist LibreSSL noch darauf hin, dass es mit dem Firefox irgendwelche Probleme mit ChaCha20-Poly1305 geben soll:


"There's currently an issue with ChaCha20/Poly1305 and Firefox when HTTP/2 is used. You may wish to rearrange the chipherlist so CHACHA20 s listed 'after' EECDH+AES25."

Foto
1

Ich nutze privat einen nginx, der gegen LibreSSL-2.4.1 kompiliert ist. Da werden die "neuen" Chacha20/Poly1305-Ciphers genutzt; dementsprechend funktioniert das auch in Firefox (auch mit HTTP/2). Chacha20/Poly1305 ist bei mir als erste Cipher gelistet.

Foto
1

LibreSSL.2.4.1 ist das "unstable" Release.


Im Interesse der Mehrheit der Nutzer verzichten wir bei den produktiven Servern auf Experimente mit Krypto, die als "unstable" deklariert ist, und verwenden Versionen die von den Entwicklern als "stable" freigegeben wurden.


Im konkreten Fall ist der Unterschied nur minimal, da zu AES-GCM+SHA256 keine Schwächen bekannt sind, es wäre also eher eine kosmetische Verbesserung.


(Ich persönlich mag ChaCha20-Poly1350 auch und wir werden es baldmöglichst unterstützen, aber es muss "stable" sein.)

Foto