Introdução

    Este original descreve como permitir a versão 1.0 do Transport Layer Security (TLSv1.0) na ferramenta de segurança do email de Cisco (ESA) e Cisco nubla-se atribuições da Segurança do email (CES).

    Como pode você permitir TLSv1.0 em Cisco ESA e CES?

    Nota: As atribuições de Cisco CES provisioned têm TLSv1.0 desabilitado à revelia conforme os requisitos de segurança devido aos impactos da vulnerabilidade no protocolo TLSv1.0. Isto inclui a corda da cifra para remover todo o uso da série compartilhada SSLv3 da cifra.

    Cuidado: Os métodos e as cifras SSL/TLS são ajustados baseados nas políticas de segurança e nas preferências específicas de sua empresa. Para a informação da terceira com respeito às cifras, refira o original da Segurança/lado de servidor TLS Mozilla para configurações do servidor e a informação detalhada recomendadas.

    A fim permitir TLSv1.0 em seu Cisco ESA ou CES, você pode fazer assim da interface gráfica de usuário (GUI) ou do comando line interface(cli).

    Nota: A fim obter o acesso a seu CES no CLI reveja por favor: Alcançando o comando line interface(cli) de sua solução da Segurança do email da nuvem (CES)

    Interface com o usuário gráfica

    1. Log no GUI.
    2. Navegue à administração do sistema > à configuração de SSL.
    3. Seleto edite ajustes.
    4. Verifique a caixa TLSv1.0. É importante notar esse TLSv1.2 e não pode ser permitido conjuntamente com TLSv1.0 a menos que o Bridging Protocol TLSv1.1 for permitido igualmente segundo as indicações da imagem:

    Interface da linha de comando

    1. Execute o sslconfig do comando.
    2. Execute o comando GUI ou DE ENTRADA ou DE PARTIDA segundo que artigo você quer permitir TLSv1.0 para:
    (Cluster Hosted_Cluster)> sslconfig

    sslconfig settings:
    GUI HTTPS method: tlsv1_2
    GUI HTTPS ciphers:
    RC4-SHA
    RC4-MD5
    ALL
    -aNULL
    -EXPORT
    Inbound SMTP method: tlsv1_2
    Inbound SMTP ciphers:
    RC4-SHA
    RC4-MD5
    ALL
    -aNULL
    -EXPORT
    Outbound SMTP method: tlsv1_2
    Outbound SMTP ciphers:
    RC4-SHA
    RC4-MD5
    ALL
    -aNULL
    -EXPORT

    Choose the operation you want to perform:
    - GUI - Edit GUI HTTPS ssl settings.
    - INBOUND - Edit Inbound SMTP ssl settings.
    - OUTBOUND - Edit Outbound SMTP ssl settings.
    - VERIFY - Verify and show ssl cipher list.
    - CLUSTERSET - Set how ssl settings are configured in a cluster.
    - CLUSTERSHOW - Display how ssl settings are configured in a cluster.
    []> INBOUND

    Enter the inbound SMTP ssl method you want to use.
    1. TLS v1.0
    2. TLS v1.1
    3. TLS v1.2
    4. SSL v2
    5. SSL v3
    [3]> 1-3

    Enter the inbound SMTP ssl cipher you want to use.
    [RC4-SHA:RC4-MD5:ALL:-aNULL:-EXPORT]>

    Cifras

    Os ESA e as atribuições CES podem ser configurados com as séries restritas da cifra, ele são importantes de assegurar-se de que as cifras SSLv3 não estejam obstruídos quando você permite o protocolo TLSv1.0. A falha permitir as séries da cifra SSLv3 conduz às falhas de negociação TLS ou aos fechamentos abruptos da conexão TLS.

    Corda da cifra da amostra:

    HIGH:MEDIUM:@STRENGTH:!aNULL:!eNULL:!LOW:!DES:!MD5:!EXP:!PSK:!DSS:!RC2:!RC4:!SEED:!ECDSA:!ADH:!IDEA:!3DES:!SSLv2:!SSLv3:!TLSv1:-aNULL:-EXPORT:-IDEA

    Esta corda da cifra para o ESA/CES de permitir a negociação nas cifras SSLv3 como indicado sobre! SSLv3: , isto significa quando o protocolo é pedido no aperto de mão, o aperto de mão SSL falha porque não há nenhuma cifra compartilhada disponível para a negociação.

    A fim assegurar as funções da corda da cifra da amostra com TLSv1.0, precisa de ser alterado para remover! SSLv3:!TLSv1: visto na corda substituída da cifra:

    HIGH:MEDIUM:@STRENGTH:!aNULL:!eNULL:!LOW:!DES:!MD5:!EXP:!PSK:!DSS:!RC2:!RC4:!SEED:!ECDSA:!ADH:!IDEA:!3DES:!SSLv2:-aNULL:-EXPORT:-IDEA

    Nota: Você pode verificar as séries da cifra compartilhadas no aperto de mão SSL no ESA/CES CLI com o comando verify.

    Os possíveis erros entraram os mail_logs/rastreamento de mensagem mas não limitado a:

    Sun Feb 23 10:07:07 2020 Info: DCID 1407038 TLS failed: (336032784, 'error:14077410:SSL routines:SSL23_GET_SERVER_HELLO:sslv3 alert handshake failure')
    Sun Feb 23 10:38:56 2020 Info: DCID 1407763 TLS failed: (336032002, 'error:14077102:SSL routines:SSL23_GET_SERVER_HELLO:unsupported protocol')

    Informações Relacionadas