OpenVPNサーバー構成のLogjam脆弱性を修正する方法は？

攻撃は非常に限られた方法でOpenVPNにのみ影響します。理由は次のとおりです。

1. OpenVPNは、共通のグループを使用する代わりに、「openssldhparam」を使用して独自のDHグループを生成することをユーザーに推奨します。 1024ビットのDHキー（最近2048に更新）を提供するために使用されるマニュアルページ/例。1024ビットのdhパラメータは壊れている可能性がありますが、それでも非常に高価です。グループを他の人と共有しない場合は、おそらくデータに対して高すぎるでしょう。
2. OpenVPNはEXPORTDHパラメーターをサポートしていないため、TLSロールバック攻撃はOpenVPNには適用されません。

安全のために、少なくとも2048ビットのDHパラメータを使用してください。 DHパラメータの更新は簡単で、サーバーでの変更のみが必要です。たとえば、を使用して新しいパラメータを生成します。

$ openssl dhparam -out dh3072.pem 3072

次に、これらの新しいパラメーターを使用するようにサーバー構成を更新します

dh dh3072.pem

サーバーを再起動します。

簡単に言うと、以下の点を参考にしてください。

• DHparamsキーのサイズが2048ビット以上であることを確認してください。そうでない場合は、再生成する必要があります。
• tls-cipher OpenVPN構成ファイルの設定は上書きされません。上書きされる場合は、脆弱なエクスポートグレードの暗号が含まれていません。 （構成でまったく定義されていない場合は、インストールされているOpenVPNのバージョンでサポートされている暗号のリストをコマンドラインで確認できます：openvpn --show-tls。
• OpenSSLの最新バージョンがインストールされていることを確認してください。この時点では、1.0.2aです。このバージョンでは暗号のエクスポート機能が無効になっていますが、それでも弱いDHキーを使用できます。

PS：私はそれについて ブログ投稿 を書きました。それは上記のtl; drの拡張バージョンであると言っています。