Merge branch 'master' of https://git.bettercrypto.org/ach-master
authorAaron Kaplan <aaron@lo-res.org>
Sat, 23 Nov 2013 15:44:57 +0000 (16:44 +0100)
committerAaron Kaplan <aaron@lo-res.org>
Sat, 23 Nov 2013 15:44:57 +0000 (16:44 +0100)
1  2 
src/practical_settings.tex

@@@ -209,7 -209,7 +209,7 @@@ tested using https://www.ssllabs.com
  
  Table~\ref{tab:MS_IIS_Client_Support} shows the algoriths from
  strongest to weakest and why they need to be added in this order. For
 -example insiting on SHA-2 algorithms (only first two lines) would
 +example insisting on SHA-2 algorithms (only first two lines) would
  eliminate all versions of Firefox, so the last line is needed to
  support this browser, but should be placed at the bottom, so capable
  browsers will choose the stronger SHA-2 algorithms.
@@@ -297,7 -297,13 +297,13 @@@ If you still want to force strong encry
    tls_cipher_list: <...recommended ciphersuite...>
  \end{lstlisting}
  
- cyrus-imapd loads hardcoded 1024 bit DH parameters using get\_rfc2409\_prime\_1024() by default. If you want to load your own DH parameters add them PEM encoded to the certificate file given in tls\_cert\_file. Do not forget to re-add them after updating your certificate.
+ cyrus-imapd loads hardcoded 1024 bit DH parameters using get\_rfc2409\_prime\_1024() by default. If you want to load your own DH parameters add them PEM encoded to the certificate file given in tls\_cert\_file. Do not forget to re-add them after updating your certificate.\\
+ To prevent unencrypted connections on the STARTTLS ports you can set
+ \begin{lstlisting}[breaklines]
+   allowplaintext: 0
+ \end{lstlisting}
+ This way MUAs can only authenticate after STARTTLS if you only provide plaintext and SASL PLAIN login methods. Therefore providing CRAM-MD5 or DIGEST-MD5 methods is not recommended.\\
  
  \paragraph*{cyrus.conf}\mbox{}\\
  
@@@ -314,6 -320,7 +320,7 @@@ To support POP3S/IMAPS on ports 995/99
    pop3s        cmd="pop3d -s" listen="pop3s" prefork=1
  \end{lstlisting}
  
  \paragraph*{Limitations}\mbox{}\\
  
  cyrus-imapd currently (2.4.17, trunk) does not support elliptic curves. ECDHE will not work even if defined in your cipher list.\\
@@@ -323,11 -330,6 +330,6 @@@ Currently there is no way to prefer ser
  There is a working patch for all three features:
  \url{https://bugzilla.cyrusimap.org/show_bug.cgi?id=3823}\\
  
- There is no way to prevent unencrypted connections on the STARTTLS ports. You can prevent usage of plaintext login by setting
- \begin{lstlisting}[breaklines]
-   allowplaintext: 0
- \end{lstlisting}
- in imapd.conf. But note that SASL PLAIN/LOGIN is still available!\\