如何修复 OpenVPN 服务器配置中的 Logjam 漏洞？

Question 1

这些攻击仅对 OpenVPN 造成非常有限的影响，因为：

OpenVPN 鼓励用户使用“openssl dhparam”生成自己的 DH 组，而不是使用通用组。手册页/示例过去提供 1024 位 DH 密钥（最近更新为 2048），尽管 1024 位 dh 参数可以被破解，但成本仍然非常高。如果您不与他人共享该组，则可能对您的数据来说成本太高。
OpenVPN 不支持 EXPORT DH 参数，因此 TLS 回滚攻击不适用于 OpenVPN。

为了安全起见，请使用至少 2048 位的 DH 参数。更新 DH 参数很容易，只需在服务器上进行更改即可。使用例如生成新参数

$ openssl dhparam -out dh3072.pem 3072

然后更新你的服务器配置以使用这些新参数

dh dh3072.pem

并重新启动服务器。

Answer

这些攻击仅对 OpenVPN 造成非常有限的影响，因为：

OpenVPN 鼓励用户使用“openssl dhparam”生成自己的 DH 组，而不是使用通用组。手册页/示例过去提供 1024 位 DH 密钥（最近更新为 2048），尽管 1024 位 dh 参数可以被破解，但成本仍然非常高。如果您不与他人共享该组，则可能对您的数据来说成本太高。
OpenVPN 不支持 EXPORT DH 参数，因此 TLS 回滚攻击不适用于 OpenVPN。

为了安全起见，请使用至少 2048 位的 DH 参数。更新 DH 参数很容易，只需在服务器上进行更改即可。使用例如生成新参数

$ openssl dhparam -out dh3072.pem 3072

然后更新你的服务器配置以使用这些新参数

dh dh3072.pem

并重新启动服务器。

Question 2

简单来说，有以下几点可以作为参考：

确保 DH 参数密钥的大小 >= 2048 位。如果不是，则应重新生成。
确保tls-cipherOpenVPN 配置文件中的设置未被覆盖，如果被覆盖，则不包含弱密码和出口级密码。（如果在配置中根本没有定义，则可以使用命令行检查安装的 OpenVPN 版本的支持密码列表：openvpn --show-tls。
确保安装了最新版本的 OpenSSL。目前版本为 1.0.2a。此版本禁用了导出密码功能，但仍允许使用较弱的 DH 密钥。

PS:我写了一个博客文章关于它，它是上面给出的 tl;dr 的扩展版本。

Answer

简单来说，有以下几点可以作为参考：

确保 DH 参数密钥的大小 >= 2048 位。如果不是，则应重新生成。
确保tls-cipherOpenVPN 配置文件中的设置未被覆盖，如果被覆盖，则不包含弱密码和出口级密码。（如果在配置中根本没有定义，则可以使用命令行检查安装的 OpenVPN 版本的支持密码列表：openvpn --show-tls。
确保安装了最新版本的 OpenSSL。目前版本为 1.0.2a。此版本禁用了导出密码功能，但仍允许使用较弱的 DH 密钥。

PS:我写了一个博客文章关于它，它是上面给出的 tl;dr 的扩展版本。

相关内容