宅配便のlogjamの脆弱性を修正
サイト weakdh.org は、「logjam」と呼ばれる弱いDiffie-Hellman攻撃に対する接尾辞を修正する方法を説明しています。
しかし、私も宅配便を修理する必要はありませんか?または、logjamセーフにするためにdovecotに移行する必要がありますか?
私はそれを非常によく説明している このブログ投稿 を見つけました。
これを高速化するには、最初に/etc/ssl/certs/dhparams.pemに適切なパラメータがあるかどうかを確認します。
openssl dhparam -text -noout -in /etc/ssl/certs/dhparams.pem
もしそうなら、それらを/etc/courier/dhparams.pemにコピーしてください
cp -a /etc/ssl/certs/dhparams.pem /etc/courier/dhparams.pem
それ以外の場合は
openssl dhparam -out /etc/courier/dhparams.pem 4096
Courrierバージョン4.15はTLS_DHCERTFILEパラメーターを削除します imapおよびpop3d構成ファイルから。 DHパラメーター(およびDHパラメーターのみ)は、新しいTLS_DHPARAMSファイルから読み取られます(DSA証明書用のTLS_DHCERTFILEの他の機能はTLS_CERTFILEにマージされます)。アップグレード後、mkdhparamsスクリプトを実行して、新しいTLS_DHPARAMSファイルを作成します。
したがって、インストールされているバージョンを確認してください
apt-cache show courier-imap-ssl|grep Version
バージョン4.15以上を使用している場合は、/etc/courier/imapd-sslを編集して設定します。
TLS_DHPARAMS=/etc/courier/dhparams.pem
courier-imap-sslを再起動します。
/etc/init.d/courier-imap-ssl restart
opensslバージョン1.0.2aとの接続を確認してください。
openssl s_client -Host <yourhost.org> -port 993
宅配便を使用する場合は、/etc/courier/dhparams.pemのDiffie-Hellmanパラメーターがデフォルトの768ビットを超えて生成されていることを確認する必要があります。 2048ビットか4096ビットで十分だと思います。
mkdhparamsを使用してdhparams.pemを生成する代わりに(デフォルトでは768ビットのみ!)、次のように実行できます。
openssl dhparam -out /etc/courier/dhparams.pem 2048
service courier-mta-ssl restart
ここにいくつかの情報(ドイツ語)とその方法についてのいくつかのさらなる読み物があります Courier-MTAへのLogjam攻撃を軽減します。