Bagaimana SSL bisa berada di port 110?

14

Saya memperbaiki server Postfix + Dovecot terhadap serangan DROWN (Saya menonaktifkan sslv2 dan sslv3).

https://test.drownattack.com

Shows :25
vulnerable to CVE-2016-0703
:110
vulnerable to CVE-2016-0703
...

Setelah itu, jika saya terhubung dengan baris perintah OpenSSL 's s_clientmenggunakan -ssl2saklar maka protokol tidak didukung. Bisakah saya menganggap ini sebagai kesalahan deteksi oleh pemindai mereka?

security ssl pencemar
sumber
Selain itu, kecuali saya salah paham: "[Hasil pengujian] didasarkan pada data yang dikumpulkan dan diproses secara massal, sehingga mereka mungkin ketinggalan zaman dan menampilkan layanan sebagai rentan setelah operator mengurangi masalah." yang berarti itu tidak diperbarui secara real time dan jika Anda tidak dapat mereproduksi serangan itu sendiri, hasil tes yang tidak diperbarui tidak selalu menjadi perhatian.
Alat ini menunjukkan layanan yang rentan terdeteksi pada Februari 2016 dan masing-masing memeriksa lagi untuk melihat apakah sudah diperbaiki. Hasil tidak akan mencakup server baru atau yang tidak terjawab oleh pemindai kami. Pembaruan langsung di-cache selama 15 menit. Saya memperbaruinya berkali-kali kemarin dan hari ini juga, pemindai mereka tampaknya melakukan beberapa pekerjaan tetapi selalu kembali bahwa port-port itu rentan ... dengan ssllabs.com Anda dapat menghapus cache segera untuk memulai pemindaian ulang yang baru tetapi masih menunjukkan kepada saya: 110 Ya Ya Rentan (kunci yang sama dengan SSL v2)
defiler

Jawaban:

41

Port 110 adalah port default untuk POP3 , yang secara historis merupakan protokol teks yang jelas tetapi telah diperluas untuk mendukung STARTTLS negosiasi dan peningkatan ke koneksi terenkripsi melalui saluran teks yang jelas itu.

Anda akan mengujinya dengan -starttlssakelar di openssl:

openssl s_client -starttls pop3 -connect host:110

Tanpa menggunakan starttlsuntuk memilih protokol yang benar untuk menegosiasikan enkripsi openssl tidak akan dapat mendeteksi dukungan untuk enkripsi dan opsi seperti -ssl2atau -no_ssl2akan gagal.

Hal yang sama berlaku untuk port 25, tetapi kemudian dengan smtpprotokol ...

HBruijn
sumber