* J. Fahrner jf@fahrner.name:
Am 21.05.2015 um 10:50 schrieb Django [BOfH]:
Heyho Patrick,
Ich hab in meiner main.cf folgendes stehen: # Django : 2014-10-19 - EDH Server support # http://www.postfix.org/FORWARD_SECRECY_README.html # Definition des 512 bit Schlüssels (export ciphers) # für die obsoleten „Export“-Ciphers und des 2048-bit # (non export ciphers) Schlüssels für all die anderen # EDH Cipher Suits. # default: smtpd_tls_dh512_param_file = # smtpd_tls_dh1024_param_file = smtpd_tls_dh1024_param_file = /etc/pki/tls/private/dh_2048.pem smtpd_tls_dh512_param_file = /etc/pki/tls/private/dh_512.pem
Wann genau lädt der Postfix 2.11. eigentlich diese beiden Dateien? Passiert das nur beim initialen Start des master-daemon oder immer dann wenn eine TLS-Verbindung initiiert wird?
Folgefrage: Könnte man für dh512 auch den 2048er File nehmen? (um zu erzwingen dass immer mit 2048 bit verschlüsselt wird)
Das weiß ich nicht. Es kann klappen. Ich würde aber annehmen, dass der eine oder andere MTA Probleme damit hat. Der Debian-Alleingang in GnuTLS 2048 Bit DH einzufordern, obwohl das mit keiner anderen SSL Lib im INET abgestimmt war, hat ja auch gezeigt zu welchen Problemen das führen kann.
Ich würde mich auf öffentlicher Weitverkehrsstrecke im Zweifel für die Interoperabilität entscheiden.
p@rick