Postfix 2.11 und smtpd_tls_dh1024_param_file

Patrick Ben Koetter p at sys4.de
Fr Mai 22 07:50:20 CEST 2015


* J. Fahrner <jf at fahrner.name>:
> 
> Am 21.05.2015 um 21:35 schrieb Patrick Ben Koetter:
> > Folgefrage: Könnte man für dh512 auch den 2048er File nehmen? (um zu
> > erzwingen dass immer mit 2048 bit verschlüsselt wird)
> > Das weiß ich nicht. Es kann klappen. Ich würde aber annehmen, dass der eine
> > oder andere MTA Probleme damit hat. Der Debian-Alleingang in GnuTLS 2048 Bit
> > DH einzufordern, obwohl das mit keiner anderen SSL Lib im INET abgestimmt war,
> > hat ja auch gezeigt zu welchen Problemen das führen kann.
> >
> > Ich würde mich auf öffentlicher Weitverkehrsstrecke im Zweifel für die
> > Interoperabilität entscheiden.
> >
> > p at rick
> >
> 
> Ok, überredet. War auch nur so eine Idee, weil Django offenbar statt dem
> 1024er auch einen 2048er nimmt.

Ich vermute mal, das hat mehr damit zu tun, dass Debian 7 (?) auf GNUTls
umgestiegen war und - ohne Abstimmung mit allen anderen SSL Libraries, einer
IETF oder einem anderen Standardisierungsgremium - mal so einfach im
Alleingang die Bitlänge für DH Params auf 2048 angehoben hatte.

Die Folge war, dass viele Mailserver kein PFS mit debianisierten Distris
durchführen konnte. Der Workaround für Postfix war/ist ein 2048er DHparam file
zu generieren und dieses an den dh1024 Parameter in Postfix zu verfüttern.
Dann können auch Debian-Systeme wieder an der Kommunikation teilnehmen.

p at rick

P.S.
Dieser, weitere Alleingang hat mich damals dazu bewogen, privat die Finger von
Debian zu lassen. Seitdem ist mein Leben um Vieles einfacher geworden. :)

-- 
[*] sys4 AG
 
https://sys4.de, +49 (89) 30 90 46 64
Franziskanerstraße 15, 81669 München
 
Sitz der Gesellschaft: München, Amtsgericht München: HRB 199263
Vorstand: Patrick Ben Koetter, Marc Schiffbauer
Aufsichtsratsvorsitzender: Florian Kirstein
 


Mehr Informationen über die Mailingliste postfix-users