web-dev-qa-db-ja.com

宅配便のlogjamの脆弱性を修正

サイト weakdh.org は、「logjam」と呼ばれる弱いDiffie-Hellman攻撃に対する接尾辞を修正する方法を説明しています。

しかし、私も宅配便を修理する必要はありませんか?または、logjamセーフにするためにdovecotに移行する必要がありますか?

2
rubo77

私はそれを非常によく説明している このブログ投稿 を見つけました。

これを高速化するには、最初に/etc/ssl/certs/dhparams.pemに適切なパラメータがあるかどうかを確認します。

openssl dhparam -text -noout -in /etc/ssl/certs/dhparams.pem

もしそうなら、それらを/etc/courier/dhparams.pemにコピーしてください

cp -a /etc/ssl/certs/dhparams.pem /etc/courier/dhparams.pem

それ以外の場合は

openssl dhparam -out /etc/courier/dhparams.pem 4096

Courrierバージョン4.15はTLS_DHCERTFILEパラメーターを削除します imapおよびpop3d構成ファイルから。 DHパラメーター(およびDHパラメーターのみ)は、新しいTLS_DHPARAMSファイルから読み取られます(DSA証明書用のTLS_DHCERTFILEの他の機能はTLS_CERTFILEにマージされます)。アップグレード後、mkdhparamsスクリプトを実行して、新しいTLS_DHPARAMSファイルを作成します。

したがって、インストールされているバージョンを確認してください

 apt-cache show courier-imap-ssl|grep Version

バージョン4.15以上を使用している場合は、/etc/courier/imapd-sslを編集して設定します。

TLS_DHPARAMS=/etc/courier/dhparams.pem

courier-imap-sslを再起動します。

/etc/init.d/courier-imap-ssl restart

opensslバージョン1.0.2aとの接続を確認してください。

openssl s_client -Host <yourhost.org> -port 993
2
rubo77

宅配便を使用する場合は、/etc/courier/dhparams.pemのDiffie-Hellmanパラメーターがデフォルトの768ビットを超えて生成されていることを確認する必要があります。 2048ビットか4096ビットで十分だと思います。

mkdhparamsを使用してdhparams.pemを生成する代わりに(デフォルトでは768ビットのみ!)、次のように実行できます。

openssl dhparam -out /etc/courier/dhparams.pem 2048

service courier-mta-ssl restart 

ここにいくつかの情報(ドイツ語)とその方法についてのいくつかのさらなる読み物があります Courier-MTAへのLogjam攻撃を軽減します。

0
Thomas