Как исправить уязвимость Logjam в конфигурации сервера OpenVPN?

Атаки затрагивают OpenVPN очень ограниченным образом, потому что:

1. OpenVPN поощряет пользователей создавать свои собственные DH-группы, используя openssl dhparam, вместо использования общих групп. Справочная страница / примеры используются для предоставления 1024-битных ключей DH (недавно обновленных до 2048), и хотя 1024-битные параметры dh могут быть нарушены, это все еще очень дорого. Возможно, слишком дорого для ваших данных, если вы не поделитесь группой с другими.
2. OpenVPN не поддерживает параметры EXPORT DH, поэтому атака отката TLS не применяется к OpenVPN.

На всякий случай используйте параметры DH длиной не менее 2048 бит. Обновить параметры DH просто и нужно только изменить на сервере. Сгенерируйте новые параметры, например,

$ openssl dhparam -out dh3072.pem 3072

затем обновите конфигурацию вашего сервера, чтобы использовать эти новые параметры

dh dh3072.pem

и перезапустите сервер.

Вкратце, для справки можно использовать следующие моменты:

• Убедитесь, что размер ключа DH params> = 2048 бит. Если нет, его следует сгенерировать заново.
• Убедитесь, что tls-cipher настройка в файле конфигурации OpenVPN не перезаписывается или, если это так, не включаются слабые шифры и шифры экспортного уровня. (Если он вообще не определен в конфигурации, список поддерживаемых шифров для установленной версии OpenVPN можно проверить с помощью командной строки: openvpn --show-tls.
• Убедитесь, что установлена ​​последняя версия OpenSSL. На данный момент это 1.0.2a. Функциональность экспортного шифра отключена в этой версии, но она по-прежнему позволяет использовать более слабые ключи DH.

PS: я написал Сообщение блога об этом говорится в расширенной версии tl; dr, указанной выше.