Como corrigir a vulnerabilidade Logjam na configuração do servidor OpenVPN?

Os ataques afetam o OpenVPN apenas de maneiras muito limitadas, porque:

1. OpenVPN incentiva os usuários a gerar seu próprio grupo DH usando 'openssl dhparam', em vez de usar grupos comuns. A página de manual/exemplos usados ​​para fornecer chaves DH de 1024 bits (atualizadas para 2048 recentemente) e, embora os parâmetros dh de 1024 bits possam ser quebrados, isso ainda é muito caro. Provavelmente muito caro para seus dados se você não compartilhar o grupo com outras pessoas.
2. OpenVPN não suporta parâmetros EXPORT DH e, portanto, o ataque de reversão de TLS não se aplica ao OpenVPN.

Por segurança, use parâmetros DH de pelo menos 2.048 bits. Atualizar os parâmetros DH é fácil e só precisa de uma alteração no servidor. Gere novos parâmetros usando, por exemplo

$ openssl dhparam -out dh3072.pem 3072

em seguida, atualize a configuração do seu servidor para usar esses novos parâmetros

dh dh3072.pem

e reinicie o servidor.

Resumidamente, os seguintes pontos podem ser usados ​​como referência:

• Certifique-se de que a chave de parâmetros DH tenha tamanho >= 2.048 bits. Caso contrário, deverá ser regenerado.
• Certifique-se de que a tls-cipherconfiguração no arquivo de configuração do OpenVPN não seja substituída ou, se for, que nenhuma cifra fraca e de nível de exportação seja incluída. (Se não estiver definido na configuração, a lista de cifras suportadas para a versão do OpenVPN instalada pode ser verificada com a linha de comando: openvpn --show-tls.
• Certifique-se de que a versão mais recente do OpenSSL esteja instalada. Neste momento, é 1.0.2a. A funcionalidade de exportação de cifra está desabilitada nesta versão, mas ainda permite o uso de chaves DH mais fracas.

PS: eu escrevi umpostagem no blogsobre isso, o que diz ser a versão expandida do tl; dr fornecido acima.