[Dovecot-de] dovecot 2.2.18 and ssl_parameters_regenerate

Hajo Locke Hajo.Locke at gmx.de
Mo Jun 1 15:00:12 CEST 2015


Hallo,

wir haben den neuesten 2.2.18er erst seit kurzem im Test, kann ich noch 
nichts dazu sagen.
Wundert mich, dass da auf der englischen Liste nichts kam. Du bist 
sicher, dass es nicht irgendwo in der Conf später deaktiviert wird?
dovecot -n| grep ssl_parameters_regenerate

Zur Not ginge ja ein manueller Cronjob und danach ein "reload dovecot". 
Timo schreibt aber auch, dass das wöchentliche wechseln der dh-Parameter 
keinen signifikanten Zugewinn an Sicherheit bedeutet.

Hajo
Am 01.06.2015 um 14:28 schrieb django at nausch.org:
>
> Servus,
>
> nachdem mir meine Anfrage in der englischsprachigen Mailingliste 
> keiner beantworten konnte, versuche ich hier mal mein Glück. 
> Vielleicht kann ja jemand des Rätsels Lösung bringen oder zumindestens 
> das (Fehl-)Verhalten von Dovecot bestätigen.
>
> Ich habe hier vier Dovecot (2.0.9, 2.2.15, 2.2.16, 2.2.18) bei 
> verschiedenen Kunden am Start. Alle zeigen das gleiche Verhalten.
>
> Im Kapitel "SSL security settings" von Timo'S Doku 
> http://wiki2.dovecot.org/SSL/DovecotConfiguration kann ich lesen:
>
> When Dovecot starts up for the first time, it generates new 512bit and 
> 1024bit Diffie Hellman parameters and saves them into 
> <prefix>/var/lib/dovecot/ssl-parameters.dat. After the initial 
> creation they're by default regenerated every week. With newer 
> computers the generation shouldn't take more than a few seconds, but 
> with older computers it can take as long as half an hour. The extra 
> security gained by the regeneration is quite small, so with slower 
> computers, for Dovecot versions prior to v2.2, you might want to 
> disable it
>
> Egal welchen Wert ich bei ssl_parameters_regenerate setze, die 
> SSL-Parameter-Datei /var/lib/dovecot/ssl-parameters.dat wird nicht 
> verändert. Lediglich beim Ändern der DH-Schlüsselgröße und einem 
> anschliessenden Neustart des Daemon, wird die SSL-Parameter-Datei neu 
> gebaut.
>
> Kann den Fehler jemand bestätigen und/oder sogar Infos weitergeben, 
> was ich tun muss, damit der DiffieHellmann-Schlüssel in regelmäßigen 
> Abständen erneuert werden kann. Bei Postfix, Apache/Nginx klappt das 
> ganze ja so wie ich mir das vorstelle. Die erzeigung erfolgt "extern" 
> und zum Aktivieren wird jeweils nur der Daemon durchgestartet.
>
>
> Servus
> Django



Mehr Informationen über die Mailingliste Dovecot