Progetto

Generale

Profilo

SSLDHParam » Cronologia » Versione 2

Simone Piccardi, 23-02-2021 15:40

1 1 Simone Piccardi
h1. Generare manualmente un parametro di Diffie-Hellman
2
3
Per la maggior sicurezza possibile nell'uso di SSL, ed in particolare per la robustezza della Perfect Forward Security è importante usare un parametro di Diffie-Helman di dimensioni opportune. Il default usato è in genere di 1024, che non è più considerato molto sicuro. 
4
5 2 Simone Piccardi
In molti programmi è comunque possibile utilizzare un parametro di dimensioni maggiori (2048 o 4096), basta fornire un file con il relativo contenuto. Un elenco delle direttive di configurazione che consentono di indicarlo è riportato nella tabella seguente:
6 1 Simone Piccardi
7 2 Simone Piccardi
| *Server* | *Direttiva* |
8
| OpenVPN | @dh /path/dhparam.pem@ |
9
| nginx | @ssl_dhparam /path/dhparam.pem@|
10
| Apache (>2.4.7)| @SSLOpenSSLConfCmd DHParameters /path/dhparam.pem@|
11
| Postfix | @smtpd_tls_dh1024_param_file =/path/dhparam.pem@|
12
| Dovecot | @ssl_dh /path/dhparam.pem@|
13
14 1 Simone Piccardi
Dato che la generazione richiede una notevole quantità di entropia (numeri casuali) se fatta su un server remoto, dove non si possono usare tecniche come quelle di premere tasti a caso sulla console per aumentare il pool a disposizione del kernel, può essere utile generarlo localmente, e poi spostare il file a destinazione.
15
16
Il comando che consente di generare in locale il parametro di Diffie-Helman è sempre @openssl@ con il sottocomando @dhparam@, e si potrà ottenere un file con il parametro nella dimensione voluta con:
17
18
<pre>
19
openssl dhparam -out dhparam.pem 2048
20
</pre>
21
22
che sarà sufficiente poi copiare a destinazione.
23 2 Simone Piccardi
24
Si tenga presente che un parametro di dimensione maggiore richiederà più risorse (CPU e tempo di esecuzione) nella gestione delle connessioni, pertanto se oggi il minimo indicato è 2048, non vale comunque la pena andare oltre i 4096.