Como corrigir a vulnerabilidade Logjam na configuração do servidor OpenVPN?

Os ataques afetam apenas o OpenVPN de maneiras muito limitadas, porque:

1. O OpenVPN incentiva os usuários a gerar seu próprio grupo DH usando 'openssl dhparam', em vez de usar grupos comuns. A página de manual / exemplos usados para fornecer chaves DH 1024 bits (atualizadas para 2048 recentemente), e embora 1024 bits dh params possam ser quebrados, isso ainda é muito caro. Provavelmente muito caro para seus dados se você não compartilhar o grupo com outras pessoas.
2. O OpenVPN não suporta parâmetros EXPORT DH e, portanto, o ataque de reversão TLS não se aplica ao OpenVPN.

Para estar no lado seguro, use parâmetros DH de pelo menos 2048 bits. A atualização dos parâmetros DH é fácil e só precisa de uma mudança no servidor. Gere novos parâmetros usando, por exemplo,

$ openssl dhparam -out dh3072.pem 3072

atualize a configuração do seu servidor para usar esses novos parâmetros

dh dh3072.pem

e reinicie o servidor.

Resumidamente, os seguintes pontos podem ser usados como referência:

• Certifique-se de que a chave params DH tenha > = 2048 bits de tamanho. Caso contrário, deve ser gerado novamente.
• Assegure-se de que a configuração tls-cipher no arquivo de configuração OpenVPN não seja sobrescrita ou, se for, que nenhuma cifra fraca e de classe de exportação seja incluída. (Se não estiver definido na configuração, a lista de criptografias suportadas para a versão do OpenVPN instalada pode ser verificada com a linha de comando: openvpn --show-tls .
• Verifique se a versão mais recente do OpenSSL está instalada. Neste momento, é 1.0.2a. A funcionalidade de cifra de exportação está desativada nesta versão, mas ainda permite o uso de chaves DH mais fracas.

PS: escrevi uma postagem no blog sobre o assunto, que diz: a versão expandida do dr acima.