SSLDHParam » History » Revision 2
« Previous |
Revision 2/4
(diff)
| Next »
Simone Piccardi, 02/23/2021 03:40 PM
Generare manualmente un parametro di Diffie-Hellman¶
Per la maggior sicurezza possibile nell'uso di SSL, ed in particolare per la robustezza della Perfect Forward Security è importante usare un parametro di Diffie-Helman di dimensioni opportune. Il default usato è in genere di 1024, che non è più considerato molto sicuro.
In molti programmi è comunque possibile utilizzare un parametro di dimensioni maggiori (2048 o 4096), basta fornire un file con il relativo contenuto. Un elenco delle direttive di configurazione che consentono di indicarlo è riportato nella tabella seguente:
Server | Direttiva |
OpenVPN | dh /path/dhparam.pem |
nginx | ssl_dhparam /path/dhparam.pem |
Apache (>2.4.7) | SSLOpenSSLConfCmd DHParameters /path/dhparam.pem |
Postfix | smtpd_tls_dh1024_param_file =/path/dhparam.pem |
Dovecot | ssl_dh /path/dhparam.pem |
Dato che la generazione richiede una notevole quantità di entropia (numeri casuali) se fatta su un server remoto, dove non si possono usare tecniche come quelle di premere tasti a caso sulla console per aumentare il pool a disposizione del kernel, può essere utile generarlo localmente, e poi spostare il file a destinazione.
Il comando che consente di generare in locale il parametro di Diffie-Helman è sempre openssl
con il sottocomando dhparam
, e si potrà ottenere un file con il parametro nella dimensione voluta con:
openssl dhparam -out dhparam.pem 2048
che sarà sufficiente poi copiare a destinazione.
Si tenga presente che un parametro di dimensione maggiore richiederà più risorse (CPU e tempo di esecuzione) nella gestione delle connessioni, pertanto se oggi il minimo indicato è 2048, non vale comunque la pena andare oltre i 4096.
Updated by Simone Piccardi over 3 years ago · 2 revisions