seozie-img

Questo articolo, succede al precedente articolo della serie dedicata ai programmi di ausilio alla gestione della suite di protocolli TLS/SSL (Transport Layer Security/Secure Socket Layer), determinanti per la sicurezza dei servizi di rete quanto a capacità di fornire connessioni protette sia in termini di riservatatezza dei dati inviati che di verifica del corretto corrispondente.

Questa volta analizzeremo una configurazione utilizzata per migliorare la sicurezza nell’uso di TLS/SSL, ed in particolare per la robustezza della Perfect Forward Security (la possibilità cioè di non poter decifrare l’eventuale traffico registrato in precedenza, anche quando un attacante venisse in possesso delle chiavi di cifratura) è importante usare un parametro di Diffie-Hellman di dimensioni opportune.

Di default si usa in genere quello di 1024 bit, che però non è più considerato molto sicuro. In molti programmi comunque, è possibile utilizzare un parametro di dimensioni maggiori (2048 o 4096 bit), basta indicare un file con il relativo contenuto.

Qui di seguito è indicato un elenco delle direttive di configurazione di vari servizi che consentono di indicarlo:

ServerDirettiva
OpenVPNdh /path/dhparam.pem
nginxssl_dhparam /path/dhparam.pem
Apache (>2.4.7)SSLOpenSSLConfCmd DHParameters /path/dhparam.pem
Postfixsmtpd_tls_dh1024_param_file =/path/dhparam.pem
Dovecotssl_dh /path/dhparam.pem

Considerando che la sua creazione richiede una notevole quantità di numeri casuali, che sono generati dal kernel raccogliendo progressivamente il “rumore” degli eventi di sistema,  ottenere un paramentro di Diffie-Hellman è una operazione che può risultare piuttosto lenta, soprattutto se fatta su un server remoto, dove non si possono premere tasti a caso sulla consolie per velocizzare la generazione dei numeri casuali necessari.

Eseguire questa operazione su una connessione remota infatti non servirebbe, in quanto, per motivi di sicurezza, gli eventi provenienti dalla rete non vengono presi in considerazione dal kernel nella generazione di numeri casuali. Ecco perchè è più opportuno creare il parametro di Diffie-Hellman localmente, dove si può utilizzare questo trucco, e poi spostarlo a destinazione

L’operazione che consente di creare un parametro di Diffie-Hellman è sempre openssl con il sottocomando dhparam, e successivamente potremo ottenere un file con il parametro nella dimensione voluta (indicata in bit dall’ultimo argomento), eseguendo:

openssl dhparam -out dhparam.pem 2048 

ed una volta conclusa l’esecuzione sarà sufficiente poi copiare dhparam.pem a destinazione.

E’ opportuno considerare che un parametro di dimensione maggiore, oltre ad un maggior impiego di
tempo per la  creazione, richiederà anche più
risorse (CPU e tempo di esecuzione) nell’utilizzo per la  gestione delle connessioni una volta installato; dunque se oggi il minimo consigliato per la dimensione è di 2048 bit, non serve andare oltre i 4096 bit.

Speriamo che con queste brevi ma sostanziali indicazioni, sia più chiaro a tutti voi come impostare correttamente un parametro di Diffie-Hellman correttamente.

Per qualsiasi ulteriore consiglio o informazione, non esitate a contattarci al nostro form di contatti Contatti – Not Just A Cloud .

                                                                                                La redazione

Share

    Saldi Piani Wordpress


    Piani Wordpress al 25%

    con il codice

    WP-SALE-HOT

    Inserisci il codice nel carrello per attivare lo sconto

    Questo si chiuderà in 0 secondi

    0
      0
      Il tuo Carrello
      Il tuo Carrello è vuotoReturn to Shop