[Dovecot-de] dovecot 2.2.18 and ssl_parameters_regenerate

Matthias Doering matthias.doering at mldsc.de
Mo Jun 1 15:26:02 CEST 2015 

Warum willst du dir regelmäßig neue DH-Schlüssel erstellen?
Bist du noch paranoider in Sachen Sicherheit :D

Ich kann das nicht nachstellen das Problem. Aber wieso nutzt du nicht 
Standardmäßig DH-Schlüssel von 2048-bit oder 4096-bit?

Ciao

Am 01.06.2015 um 14:28 schrieb django at nausch.org:
>
> Servus,
>
> nachdem mir meine Anfrage in der englischsprachigen Mailingliste 
> keiner beantworten konnte, versuche ich hier mal mein Glück. 
> Vielleicht kann ja jemand des Rätsels Lösung bringen oder zumindestens 
> das (Fehl-)Verhalten von Dovecot bestätigen.
>
> Ich habe hier vier Dovecot (2.0.9, 2.2.15, 2.2.16, 2.2.18) bei 
> verschiedenen Kunden am Start. Alle zeigen das gleiche Verhalten.
>
> Im Kapitel "SSL security settings" von Timo'S Doku 
> http://wiki2.dovecot.org/SSL/DovecotConfiguration kann ich lesen:
>
> When Dovecot starts up for the first time, it generates new 512bit and 
> 1024bit Diffie Hellman parameters and saves them into 
> <prefix>/var/lib/dovecot/ssl-parameters.dat. After the initial 
> creation they're by default regenerated every week. With newer 
> computers the generation shouldn't take more than a few seconds, but 
> with older computers it can take as long as half an hour. The extra 
> security gained by the regeneration is quite small, so with slower 
> computers, for Dovecot versions prior to v2.2, you might want to 
> disable it
>
> Egal welchen Wert ich bei ssl_parameters_regenerate setze, die 
> SSL-Parameter-Datei /var/lib/dovecot/ssl-parameters.dat wird nicht 
> verändert. Lediglich beim Ändern der DH-Schlüsselgröße und einem 
> anschliessenden Neustart des Daemon, wird die SSL-Parameter-Datei neu 
> gebaut.
>
> Kann den Fehler jemand bestätigen und/oder sogar Infos weitergeben, 
> was ich tun muss, damit der DiffieHellmann-Schlüssel in regelmäßigen 
> Abständen erneuert werden kann. Bei Postfix, Apache/Nginx klappt das 
> ganze ja so wie ich mir das vorstelle. Die erzeigung erfolgt "extern" 
> und zum Aktivieren wird jeweils nur der Daemon durchgestartet.
>
>
> Servus
> Django

-- 
Mit freundlichen Grüßen

Matthias Döring

Mehr Informationen über die Mailingliste Dovecot