In risposta a Logjam voglio dimostrare di aver indurato i miei servizi. So che il parametro DH deve essere almeno 2048 bit e generato da sé. Ma non riesco a trovare un modo per verificarlo effettivamente per qualcosa di diverso da un sito HTTPS. ( questo posso fare qui ) Vorrei controllare anche i miei altri servizi protetti SSL per questo:
- Posta (Postfix e Dovecot)
- SSH
- VPN
- Qualsiasi altro
Sono arrivato fino a openssl s_client -starttls smtp -crlf -connect localhost:25
ma ciò ha prodotto:
CONNECTED(00000003) depth=3 C = SE, O = ME, OU = Also ME, CN = Me again verify error:num=19:self signed certificate in certificate chain
verify return:0 Server certificate
-SNIPED SOME VALUES-
--- SSL handshake has read 6118 bytes and written 466 bytes
--- New, TLSv1/SSLv3, Cipher is ECDHE-RSA-AES256-GCM-SHA384 Server public key is 2048 bit Secure Renegotiation IS supported Compression:
NONE Expansion: NONE SSL-Session:
Protocol : TLSv1.2
Cipher : ECDHE-RSA-AES256-GCM-SHA384
Session-ID: 6EAA8A5B22E8C18E9D0E78A0B08447C8449E9B9543601BC53F57CB2059597754
Session-ID-ctx:
Master-Key: <MASTERKEY>
Key-Arg : None
PSK identity: None
PSK identity hint: None
SRP username: None
Start Time: 1432213909
Timeout : 300 (sec)
Verify return code: 19 (self signed certificate in certificate chain)
--- 250 DSN
Come posso testare i parametri DH? e cosa dovrei guardare per sapere se sono a rischio?