Truedoc

h1. Generare manualmente un parametro di Diffie-Hellman

Per la maggior sicurezza possibile nell'uso di SSL, ed in particolare per la robustezza della Perfect Forward Security è importante usare un parametro di Diffie-Helman di dimensioni opportune. Il default usato è in genere di 1024, che non è più considerato molto sicuro. 

In molti programmi è comunque possibile utilizzare un parametro di dimensioni maggiori (2048 o 4096), basta fornire un file con il relativo contenuto. Un elenco delle direttive di configurazione che consentono di indicarlo è riportato nella tabella seguente:

| *Server* | *Direttiva* |

| OpenVPN | @dh /path/dhparam.pem@ |

| nginx | @ssl_dhparam /path/dhparam.pem@|

| Apache (>2.4.7)| @SSLOpenSSLConfCmd DHParameters /path/dhparam.pem@|

| Postfix | @smtpd_tls_dh1024_param_file =/path/dhparam.pem@|

| Dovecot | @ssl_dh /path/dhparam.pem@|

Dato che la generazione richiede una notevole quantità di entropia (numeri casuali) se fatta su un server remoto, dove non si possono usare tecniche come quelle di premere tasti a caso sulla console per aumentare il pool a disposizione del kernel, può essere utile generarlo localmente, e poi spostare il file a destinazione.

Il comando che consente di generare in locale il parametro di Diffie-Helman è sempre @openssl@ con il sottocomando @dhparam@, e si potrà ottenere un file con il parametro nella dimensione voluta con:

<pre>

openssl dhparam -out dhparam.pem 2048

</pre>

che sarà sufficiente poi copiare a destinazione.

Si tenga presente che un parametro di dimensione maggiore richiederà più risorse (CPU e tempo di esecuzione) nella gestione delle connessioni, pertanto se oggi il minimo indicato è 2048, non vale comunque la pena andare oltre i 4096.