Hallo zusammen,
ich debugge aktuell den immer wieder auftretenden Sync-Verlust von CalDAV / CardDav beim emClient. Nach Hinweisen aus dem Debug-Log vom emClient und des Supports dürften Kompatibilitätsprobleme bei TLS1.3-Ciphern dafür verantwortlich sein.
Ich habe mit meinem HAProxy das mal explizit getestet und in der Tat festgestellt, dass die CHACHA20-Ciphers hier Fehler produzieren.
Jetzt kann ich die bei meinem HAProxy problemlos rausnehmen, das gilt aber nur für IPv4. IPv6 geht ja direkt auf den Mailcow, ohne HAProxy für den Port 443 (SoGo).
Ich möchte die CHACHAs nun auch für SoGo direkt für IPv6-Verbindungen erst einmal verhindern - das kann ich grundsätzlich machen, indem ich diese in der /opt/mailcow-dockerized/data/conf/nginx/includes/site-defaults.conf entsprechend umkonfiguriere:
ssl_ciphers ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:!ECDHE-ECDSA-CHACHA20-POLY1305:!ECDHE-RSA-CHACHA20-POLY1305;
ssl_conf_command Ciphersuites TLS_AES_128_GCM_SHA256:TLS_AES_256_GCM_SHA384;
Leider wird die Datei aber bei jedem Mailcow-Update überschrieben 🙄
Gibt es hier eine Override-Möglichkeit?