Os ataques afetam apenas o OpenVPN de maneiras muito limitadas, porque:
- O OpenVPN incentiva os usuários a gerar seu próprio grupo DH usando 'openssl dhparam', em vez de usar grupos comuns. A página de manual / exemplos usados para fornecer chaves DH 1024 bits (atualizadas para 2048 recentemente), e embora 1024 bits dh params possam ser quebrados, isso ainda é muito caro. Provavelmente muito caro para seus dados se você não compartilhar o grupo com outras pessoas.
- O OpenVPN não suporta parâmetros EXPORT DH e, portanto, o ataque de reversão TLS não se aplica ao OpenVPN.
Para estar no lado seguro, use parâmetros DH de pelo menos 2048 bits. A atualização dos parâmetros DH é fácil e só precisa de uma mudança no servidor. Gere novos parâmetros usando, por exemplo,
$ openssl dhparam -out dh3072.pem 3072
atualize a configuração do seu servidor para usar esses novos parâmetros
dh dh3072.pem
e reinicie o servidor.