Как устранить уязвимость Logjam в конфигурации сервера OpenVPN?

Атаки затрагивают OpenVPN лишь в очень ограниченных масштабах, поскольку:

1. OpenVPN призывает пользователей создавать собственные DH-группы с помощью 'openssl dhparam' вместо использования общих групп. Страница руководства / примеры, используемые для предоставления 1024-битных ключей DH (недавно обновленных до 2048), и хотя 1024-битные параметры dh могут быть сломаны, это все еще очень дорого. Вероятно, слишком дорого для ваших данных, если вы не делитесь группой с другими.
2. OpenVPN не поддерживает параметры EXPORT DH, поэтому атака TLS rollback не применима к OpenVPN.

Чтобы быть в безопасности, используйте параметры DH длиной не менее 2048 бит. Обновление параметров DH легко и требует только изменения на сервере. Сгенерируйте новые параметры, используя, например,

$ openssl dhparam -out dh3072.pem 3072

затем обновите конфигурацию вашего сервера, чтобы использовать эти новые параметры.

dh dh3072.pem

и перезапустите сервер.

Вкратце, в качестве справочной информации можно использовать следующие пункты:

• Убедитесь, что размер ключа параметров DH >= 2048 бит. Если нет, его следует сгенерировать заново.
• Убедитесь, что tls-cipherнастройка в файле конфигурации OpenVPN не перезаписана, а если перезаписана, то не включены слабые и экспортные шифры. (Если они вообще не определены в конфигурации, список поддерживаемых шифров для установленной версии OpenVPN можно проверить с помощью командной строки: openvpn --show-tls.
• Убедитесь, что установлена ​​последняя версия OpenSSL. На данный момент это 1.0.2a. Функциональность экспортного шифра в этой версии отключена, но она по-прежнему позволяет использовать более слабые ключи DH.

PS: Я написалСообщение блогаоб этом говорится в расширенной версии краткого содержания, приведенного выше.