Generare manualmente un parametro di Diffie-Hellman¶

Per la maggior sicurezza possibile nell'uso di SSL, ed in particolare per la robustezza della Perfect Forward Security è importante usare un parametro di Diffie-Helman di dimensioni opportune. Il default usato è in genere di 1024, che non è più considerato molto sicuro.

In molti programmi è comunque possibile utilizzare un parametro di dimensioni maggiori (2048 o 4096), basta fornire un file con il relativo contenuto, ad esempio con OpenVPN lo si indica con la direttiva dh /path/dhparam.pem, con nginx con la direttiva ssl_dhparam /path/dhparam.pem, con Apache (>2.4.7) con la direttiva SSLOpenSSLConfCmd DHParameters /path/dhparam.pem, con Postfix con smtpd_tls_dh1024_param_file =/path/dhparam.pem, con Dovecot con ssl_dh /path/dhparam.pem.

Dato che la generazione richiede una notevole quantità di entropia (numeri casuali) se fatta su un server remoto, dove non si possono usare tecniche come quelle di premere tasti a caso sulla console per aumentare il pool a disposizione del kernel, può essere utile generarlo localmente, e poi spostare il file a destinazione.

Il comando che consente di generare in locale il parametro di Diffie-Helman è sempre openssl con il sottocomando dhparam, e si potrà ottenere un file con il parametro nella dimensione voluta con:

openssl dhparam -out dhparam.pem 2048

che sarà sufficiente poi copiare a destinazione.