Merge branch 'master' of https://git.bettercrypto.org/ach-master
authorAaron Kaplan <aaron@lo-res.org>
Mon, 16 Dec 2013 20:45:03 +0000 (21:45 +0100)
committerAaron Kaplan <aaron@lo-res.org>
Mon, 16 Dec 2013 20:45:03 +0000 (21:45 +0100)
src/practical_settings/mailserver.tex
src/ssllibs.tex

index 39fb511..7e281c2 100644 (file)
@@ -252,8 +252,18 @@ you can leave the statement in for older versions.
 Refer to \url{http://www.postfix.org/TLS_README.html} for an in-depth
 discussion.
 
-% \item[Additional settings:]
-% no additional settings
+\item[Additional settings:]
+
+Postfix has two sets of built-in DH parameters that can be overridden
+with the \verb|smtpd_tls_dh512_param_file|
+and \verb|smtpd_tls_dh1024_param_file| options. The ``dh512''
+parameters are used for export ciphers, while the ``dh1024'' ones are
+used for all other ciphers.
+
+The ``bit lenght'' in those parameter names is just a name, so one
+could use stronger parameter sets; it should be possible to e.g. use the
+IKE Group14 parameters (see section \ref{section:DH}) without much
+interoperability risk, but we have not tested this yet.
 
 % \item[Justification for special settings (if needed):]
 % no special settings
index 8c0cb3d..04a41c5 100644 (file)
@@ -41,23 +41,24 @@ your systems support on how you may get the most security out of your systems.
 Choosing cipher strings requires the use of an intermediate language that allows selection
 and deselection of ciphers, key exchange mechanisms, MACs and combinations of those.
 Common combinators consist of \texttt{+}, \texttt{-} and \texttt{!}
-\begin{center}
 
+\begin{center}
 \begin{tabular}{rll}
 \toprule
 \textbf{combinator} & \textbf{effect}                   & \textbf{example}\\\cmidrule(lr){1-3}
-           \verb|+| & add at this position              & \verb|+SHA256|      \\
-           \verb|-| & remove at the current position    & \verb|-SSLv3|       \\
-           \verb|!| & permanently remove from selection & \verb|!3DES|        \\
- (OpenSSL) \verb|@| & special command                   & \verb|@STRENGTH|    \\
-  (GnuTLS) \verb|%| & special command                   & \verb|%NEW_PADDING| \\
+           \verb|+| & add at this position              & \verb|ALL:+SHA256|        \\
+           \verb|-| & remove at the current position    & \verb|ALL:-SSLv3|         \\
+           \verb|!| & permanently remove from selection & \verb|ALL:!3DES:!RC4|     \\
+ (OpenSSL) \verb|@| & special command                   & \verb|ALL@STRENGTH|       \\
+  (GnuTLS) \verb|%| & special command                   & \verb|NORMAL%NEW_PADDING| \\
 \bottomrule
 \end{tabular}
 \end{center}
 
-
-%http://www.gnutls.org/manual/html_node/Priority-Strings.html
-%https://www.openssl.org/docs/apps/ciphers.html
+A list of special strings to use can be found in
+\url{http://www.gnutls.org/manual/html_node/Priority-Strings.html} for GnuTLS or
+\url{https://www.openssl.org/docs/apps/ciphers.html} for OpenSSL. There is, however, no
+common syntax for a cipher string throughout different SSL libraries.
 
 %%azet: 
 % I think we should neglect this section since we do