Jump to content
Froxlor Forum
  • 0

Diffie Hellman Key size einstellen?


Tealk
 Share

Question

10 answers to this question

Recommended Posts

  • 0

Für welchen Dienst? Bis auf http/https sind ja alles nur config-templates die nur einmal eingerichtet werden. Bleibt nur SSLOpenSSLConfCmd DHParameters was du meinen könntest, und die dort verwendete dhparam.pem Datei wird sowieso nur EINMAL erstellt und nicht dynamisch, zumal diese Option von froxlor nicht in die vhosts eingetragen wird (kannst du ja in die eigenen vhost-inhalte eintragen) daher...was will man da einstellen?

Link to comment
Share on other sites

  • 0

Durch tests, ich bin gerade dabei das alles ein wenig zu härten.

Es geht um

image.png.1b87eefe3f1f4e3d6e6545479dd1abfc.png

 

weil erstellen kann man diesen ja über "openssl dhparam -out /etc/ssl/certs/dhparam.pem 2048" das macht ja froxlor automatisch denke ich mal, sonst wüsste ich nicht woher es kommt.

Link to comment
Share on other sites

  • 0
4 minutes ago, Tealk said:

weil erstellen kann man diesen ja über "openssl dhparam -out /etc/ssl/certs/dhparam.pem 2048" das macht ja froxlor automatisch denke ich mal, sonst wüsste ich nicht woher es kommt.

Nein macht froxlor nicht, weder dass erstellen der dhparam.pem noch das einbinden in die vhosts...siehe meine erste Antwort:

23 minutes ago, d00p said:

Bleibt nur SSLOpenSSLConfCmd DHParameters [...], zumal diese Option von froxlor nicht in die vhosts eingetragen wird (kannst du ja in die eigenen vhost-inhalte eintragen)

 

Link to comment
Share on other sites

  • 0
Am 17.10.2018 um 13:10 schrieb Tealk:

ich will eig. nur die key size erhöhen da 256 ein wenig wenig ist.

Mit 256 ist der Diffie-Hellmann Algorithmus auf Basis elliptischer Kurven mit 256 bit gemeint (= ECC 256).

Ist mit 256 bit in der Tat zu niedrig, sollten 384 bit sein.

Am 17.10.2018 um 13:04 schrieb d00p:

die dort verwendete dhparam.pem Datei wird sowieso nur EINMAL erstellt und nicht dynamisch

Sicherer ist es, wenn man diese Datei von Zeit zu Zeit erneut erstellt.

Am 17.10.2018 um 13:04 schrieb d00p:

zumal diese Option von froxlor nicht in die vhosts eingetragen wird (kannst du ja in die eigenen vhost-inhalte eintragen) daher...was will man da einstellen?

openssl dhparam -out /etc/ssl/certs/dhparams4096.pem 4096


SSLEngine on
SSLOpenSSLConfCmd DHParameters "/etc/ssl/certs/dhparams4096.pem"
SSLOpenSSLConfCmd ECDHParameters secp384r1
SSLOpenSSLConfCmd Curves secp521r1:secp384r1

 

Prüfen mit https://www.ssllabs.com/ssltest/

Link to comment
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
 Share

×
×
  • Create New...