[Dovecot-de] dovecot 2.2.18 and ssl_parameters_regenerate
Alex JOST
jost+lists at dimejo.at
Mo Jun 1 15:51:04 CEST 2015
Am 01.06.2015 um 14:28 schrieb django at nausch.org:
>
> Servus,
>
> nachdem mir meine Anfrage in der englischsprachigen Mailingliste keiner
> beantworten konnte, versuche ich hier mal mein Glück. Vielleicht kann ja
> jemand des Rätsels Lösung bringen oder zumindestens das (Fehl-)Verhalten
> von Dovecot bestätigen.
>
> Ich habe hier vier Dovecot (2.0.9, 2.2.15, 2.2.16, 2.2.18) bei
> verschiedenen Kunden am Start. Alle zeigen das gleiche Verhalten.
>
> Im Kapitel "SSL security settings" von Timo'S Doku
> http://wiki2.dovecot.org/SSL/DovecotConfiguration kann ich lesen:
>
> When Dovecot starts up for the first time, it generates new 512bit and
> 1024bit Diffie Hellman parameters and saves them into
> <prefix>/var/lib/dovecot/ssl-parameters.dat. After the initial creation
> they're by default regenerated every week. With newer computers the
> generation shouldn't take more than a few seconds, but with older
> computers it can take as long as half an hour. The extra security gained
> by the regeneration is quite small, so with slower computers, for
> Dovecot versions prior to v2.2, you might want to disable it
>
> Egal welchen Wert ich bei ssl_parameters_regenerate setze, die
> SSL-Parameter-Datei /var/lib/dovecot/ssl-parameters.dat wird nicht
> verändert. Lediglich beim Ändern der DH-Schlüsselgröße und einem
> anschliessenden Neustart des Daemon, wird die SSL-Parameter-Datei neu
> gebaut.
>
> Kann den Fehler jemand bestätigen und/oder sogar Infos weitergeben, was
> ich tun muss, damit der DiffieHellmann-Schlüssel in regelmäßigen
> Abständen erneuert werden kann. Bei Postfix, Apache/Nginx klappt das
> ganze ja so wie ich mir das vorstelle. Die erzeigung erfolgt "extern"
> und zum Aktivieren wird jeweils nur der Daemon durchgestartet.
>
>
> Servus
> Django
In /etc/dovecot/conf.d/10-ssl.conf steht unter Debian folgendes:
How often to regenerate the SSL parameters file. Generation is quite CPU
intensive operation. The value is in hours, 0 disables regeneration
entirely.
ssl_parameters_regenerate = 168
Das scheint bei mir zu funktionieren. Die Datei wurde das letzte Mal vor
3 Tagen verändert.
--
Alex JOST
Mehr Informationen über die Mailingliste Dovecot