Progetto

Generale

Profilo

Actions

SSLDHParam » Cronologia » Versione 2

« Precedente | Versione 2/4 (diff) | Successivo »
Simone Piccardi, 23-02-2021 15:40


Generare manualmente un parametro di Diffie-Hellman

Per la maggior sicurezza possibile nell'uso di SSL, ed in particolare per la robustezza della Perfect Forward Security è importante usare un parametro di Diffie-Helman di dimensioni opportune. Il default usato è in genere di 1024, che non è più considerato molto sicuro.

In molti programmi è comunque possibile utilizzare un parametro di dimensioni maggiori (2048 o 4096), basta fornire un file con il relativo contenuto. Un elenco delle direttive di configurazione che consentono di indicarlo è riportato nella tabella seguente:

Server Direttiva
OpenVPN dh /path/dhparam.pem
nginx ssl_dhparam /path/dhparam.pem
Apache (>2.4.7) SSLOpenSSLConfCmd DHParameters /path/dhparam.pem
Postfix smtpd_tls_dh1024_param_file =/path/dhparam.pem
Dovecot ssl_dh /path/dhparam.pem

Dato che la generazione richiede una notevole quantità di entropia (numeri casuali) se fatta su un server remoto, dove non si possono usare tecniche come quelle di premere tasti a caso sulla console per aumentare il pool a disposizione del kernel, può essere utile generarlo localmente, e poi spostare il file a destinazione.

Il comando che consente di generare in locale il parametro di Diffie-Helman è sempre openssl con il sottocomando dhparam, e si potrà ottenere un file con il parametro nella dimensione voluta con:

openssl dhparam -out dhparam.pem 2048

che sarà sufficiente poi copiare a destinazione.

Si tenga presente che un parametro di dimensione maggiore richiederà più risorse (CPU e tempo di esecuzione) nella gestione delle connessioni, pertanto se oggi il minimo indicato è 2048, non vale comunque la pena andare oltre i 4096.

Aggiornato da Simone Piccardi quasi 4 anni fa · 2 revisions