Как исправить уязвимость Logjam в конфигурации сервера OpenVPN?

Атаки воздействуют на OpenVPN только очень ограниченным образом, потому что:

1. OpenVPN поощряет пользователей создавать свои собственные DH-группы, используя "openssl dhparam" вместо использования общих групп. Справочная страница / примеры, используемые для предоставления ключей DH длиной 1024 бита (недавно обновленные до 2048), и хотя параметры dh 1024 бита могут быть нарушены, это все еще очень дорого. Вероятно, слишком дорого для ваших данных, если вы не делитесь группой с другими.
2. OpenVPN не поддерживает параметры DH EXPORT, и поэтому атака отката TLS не применяется к OpenVPN.

Чтобы быть в безопасности, используйте параметры DH не менее 2048 бит. Обновление параметров DH легко и требует только изменения на сервере. Генерация новых параметров, используя, например,

$ openssl dhparam -out dh3072.pem 3072

затем обновите конфигурацию вашего сервера, чтобы использовать эти новые параметры

dh dh3072.pem

и перезагрузите сервер.

Вкратце, следующие пункты могут быть использованы в качестве ссылки:

• Убедитесь, что ключ DH-параметров имеет размер>= 2048 бит. Если нет, он должен быть перегенерирован.
• Убедитесь, что tls-cipher настройка в файле конфигурации OpenVPN не перезаписывается, или, если это так, что не включены слабые и экспортные шифры. (Если он вообще не определен в конфигурации, список поддерживаемых шифров для версии установленного OpenVPN можно проверить с помощью командной строки: openvpn --show-tls,
• Убедитесь, что установлена ​​последняя версия OpenSSL. На данный момент это 1.0.2a. Функциональность экспортного шифра отключена в этой версии, но она по-прежнему позволяет использовать более слабые ключи DH.

PS: я написал пост в блоге об этом, который говорит, что является расширенной версией tl;dr, приведенной выше.