[Dovecot-de] dovecot 2.2.18 and ssl_parameters_regenerate

Django django at nausch.org
Mo Jun 1 20:31:31 CEST 2015


-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256

HI Hajo,

Am 01.06.2015 um 15:00 schrieb Hajo Locke:

> wir haben den neuesten 2.2.18er erst seit kurzem im Test, kann ich
> noch nichts dazu sagen.

Brauchst ja "nur" mal nachsehen, welchen Zeitstempel Deine
ssl-parameters.dat hat:

lib/dovecot/ssl-parameters.dat
- -rw-r--r-- 1 root root 360 May 22 08:52
/var/lib/dovecot/ssl-parameters.dat

> Wundert mich, dass da auf der englischen Liste nichts kam.

Mich ja auch, daher habe ich mir einen crosspost erlaubt. :)

> Du bist sicher, dass es nicht irgendwo in der Conf später
> deaktiviert wird? dovecot -n| grep ssl_parameters_regenerate

klaro, der Parameter ist nur 1x gesetzt.

> Zur Not ginge ja ein manueller Cronjob und danach ein "reload
> dovecot".

Aber nur wenn in dem cronjob z.B. die Schlüssellänge verändert wird.
Denn nur dann wir die ssl-parameters.dat neu angelegt.nicht aber bei
einem reinen reload des daemon.

> Timo schreibt aber auch, dass das wöchentliche wechseln der
> dh-Parameter keinen signifikanten Zugewinn an Sicherheit bedeutet.

Na ja, ich bilde da mir immer meine eigene Meinung, nachdem ich
mehrere Quellen zu einem Thema durchforstet habe. Und was Viktor
Dukhovni in Sachen Postfix schreibt, ist IMHO eine gute Erklärung,
warum ich den Schlüssel an und ab tauschen möchte:

>> You can improve security against pre-computation attacks further
>> by
regenerating the Postfix SMTP server EDH parameters periodically (an
hourly or daily cron job running the above commands as root can
automate this task).<<

Also schaden kanns ja mal nicht, oder? ;)


Servus
Django
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v2

iQIcBAEBCAAGBQJVbKUDAAoJEAdOz2FQpr/t8R8P/24/J714mQRtEUi5Nyq13zfm
nYcmKTDQ2JwlivvdJUDJB5wU+y2vJAZnBu+ahn20fKjxVABz2Y2BWpiL3ykPbt0v
ZdcWk3ic5R3eKkKg+Lfqrq1H2quTv6RpeKFgMRbkyBG7iU4YcDB7lcjM2gRVCsOb
JNb4/FwVDFRGe6/rEcRVYdF8kAkmOYBNcYIm6YeUHCDHReYLMHX3oMsHYOxPSHsz
yqM1c7mbCdH//g2t79hV8rEVXmz6i7YztcI9ApwcBQFDC5XeNG+BFZI8ad1SOMBf
jGDuOJlDHl7Z99jqCCO60U2imDqXTuPbCdfVQcMJiBcoLF7IA3R31/tOxXLIbIfU
ZehAnx9SQw0mwfP6m5AMDr9qxOEDltVEfYfmS2mRohQwq+MY9lrdLBOFeqAVwIWd
2soW07Q5uae/XQ4KGmLMg6WRMGCwcUx7hLLOwsL4YcSnQNZQl4Zo8PjEFfOVNz7+
ogCHVQLslFzV+Ml2Z1c9/cuKmhoLE4u5N8gyTVTYorHsPcbXMvxPO2OOkWRfh1Sr
DF8Qbm2ZZIS8KqfVXVWQgWgh5k0RutWkEflGtXih9/expNszXwc5Amp/Ji/Ll9Yw
Nkx1/s40sYam6eBDNHez8NiZ1YYHrFm6OYZw4owum6mJJfoG/4eEKxru0nSpzCnk
xH6QpvrobOdrZO+QX0Nj
=Du1o
-----END PGP SIGNATURE-----


Mehr Informationen über die Mailingliste Dovecot