SSL Test weak DH parameters

  • Hallo,


    ich bin etwas verwirrt.
    Ich habe LiveConfig installiert alles super, Zertifikate angefordert. Auch alles gekalltp für Webseite eingerichtet und auch für den Mailserver.
    Jetzt auf der Webseite hier SSL Check gemacht.
    Für HTTPS alles grün, beim Mail alles WARN wegen schwachen DH parameters.
    Jetzt meine Frage, wie es sein kann das bei Mail nur 2014Bit Schlüssel verwendet werden und ob man das irgendwo ändern kann?


    Danke

  • Jetzt meine Frage, wie es sein kann das bei Mail nur 2014Bit Schlüssel verwendet werden und ob man das irgendwo ändern kann?


    Das Problem ist etwas komplexer. 1024 Bit DH-Parameter ist (derzeit) durchaus beabsichtigt und im konkreten Fall auch kein großes Problem.


    Viele "Mailserver" wie u.a. Exchange können keine SSL/TLS-Verbindungen mit Servern aufbauen, die nur 2048-Bit Parameter erlauben.
    Würde man die DH-Parameter für Port 25 also entsprechend auf 2048 Bit vergrößern, dann würden einige Systeme wahlweise keine Mails mehr oder nur noch unverschlüsselt übertragen.


    Wenn der Mailserver "öffentlich" betrieben wird (also nicht nur E-Mails von einem bestimmten Relay bekommt), dann führt an 1024-Bit-Parametern auf Port 25 nichts vorbei. Die einzige saubere Lösung wäre dann, auf Port 25 kein Submission mehr zuzulassen, sondern ausschließlich auf Port 587 (und ggf. 465). Dort wiederum könnte man DH-Parameter auf mind. 2048 Bit setzen.
    Das muss man aber seinen E-Mail-Benutzern allen klar machen (die meisten Mailprogramme prüfen standardmäßig erst mal den Versand über Port 25).


    Viele Grüße


    -Klaus Keppler

Jetzt mitmachen!

Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!