Diffie Hellman Parameter für Apache2

german

#1

Hallo,

Apache 2.2 kennt noch kein SSLOpenSSLConfCmd, daher kann man keine eigenen Diffie-Hellman Parameter mit mehr als 1024bit setzen.

Ich finde das einigermaßen problematisch:

https://weakdh.org/

Ich habe probiert, die DHParams an das Zertifikat anzuhängen, aber der Debian Patch vom Herbst 2015 scheint nicht in dem Apache2 drin zu sein?

https://www.debian.org/security/2015/dsa-3325

Ist das so, und wenn ja, könnte der Patch in das nächste Errata?

Danke und Grüße,

Andreas


#2

Hallo Andreas,

ich habe deine Anfrage an folgenden Bugreport gehangen.

Viele Grüße,
Tobias Birkefeld


#3

Ich verstehe den Bugreport so, dass der Debian Patch eingebaut wurde?

Wie geschrieben, ich hatte das cat’en der dhparams an die cert.pem probiert, aber es hat nicht funktioniert.

Grüße, Andreas


#4

Hallo Andreas,

gestern stand der Bug noch auf New, allerdings mit dem Hinweis, dass Upstream (also bei Debian) das Paket gefixt worden ist bzw ein Patch vorhanden ist. Wir haben gestern den Patch von Debian in unser Paket eingebaut und werden ihn alsbald als Errata veröffentlichen. Wenn das Errata veröffentlicht wurde, wird ein entsprechender Eintrag am Bugreport erscheinen.
Mit dem neuen Paket (Version >2.2.22-13+deb7u5) ist es erst dann möglich größere dhparams (>1024 bit) an das SSLCertificateFile anzuhängen. Das ist der Hinweis am Bugreport (Comment 1)

Viele Grüße,
Tobias Birkefeld


#5

Merci