Generare manualmente un parametro di Diffie-Hellman¶
Per la maggior sicurezza possibile nell'uso di SSL, ed in particolare per la robustezza della Perfect Forward Security è importante usare un parametro di Diffie-Helman di dimensioni opportune. Il default usato è in genere di 1024, che non è più considerato molto sicuro.
In molti programmi è comunque possibile utilizzare un parametro di dimensioni maggiori (2048 o 4096), basta fornire un file con il relativo contenuto. Un elenco delle direttive di configurazione che consentono di indicarlo è riportato nella tabella seguente:
| Server | Direttiva |
| OpenVPN | dh /path/dhparam.pem |
| nginx | ssl_dhparam /path/dhparam.pem |
| Apache (>2.4.7) | SSLOpenSSLConfCmd DHParameters /path/dhparam.pem |
| Postfix | smtpd_tls_dh1024_param_file =/path/dhparam.pem |
| Dovecot | ssl_dh /path/dhparam.pem |
Dato che la generazione richiede una notevole quantità di entropia (numeri casuali) se fatta su un server remoto, dove non si possono usare tecniche come quelle di premere tasti a caso sulla console per aumentare il pool a disposizione del kernel, può essere utile generarlo localmente, e poi spostare il file a destinazione.
Il comando che consente di generare in locale il parametro di Diffie-Helman è sempre openssl con il sottocomando dhparam, e si potrà ottenere un file con il parametro nella dimensione voluta con:
openssl dhparam -out dhparam.pem 2048
che sarà sufficiente poi copiare a destinazione.
Si tenga presente che un parametro di dimensione maggiore richiederà più risorse (CPU e tempo di esecuzione) nella gestione delle connessioni, pertanto se oggi il minimo indicato è 2048, non vale comunque la pena andare oltre i 4096.
Aggiornato da Simone Piccardi circa 3 anni fa · 2 revisions