[freebsd] dh key too small (Re: Нагруженный VPN сервер)

Eugene Grosbein eugen at grosbein.net
Fri Oct 5 02:34:27 EEST 2018


04.10.2018 19:49, Alexander Andreyev пишет:

[skip]

Александр, вы в курсе, что к вам на @rri.kiev.ua почта может не ходить?

MX-ом для этого домена работает smtp.dako.ua, который заявляет поддержку TLS,
но предъявляет сертификат с ключом длиной всего в 512 бит, а последние два года
после https://www.openssl.org/news/secadv/20150611.txt это может приводить
к отказу отправляющего релея работать с таким MX  диагностикой типа такой:

sm-mta[9199]: STARTTLS=client, error: connect failed=-1, reason=dh key too small, SSL_error=1, errno=0, retry=-1

Нынче лучше для SMTP использовать сертификат с длиной ключа минимум в 1024 бита, а лучше в 2048 (с запасом).




More information about the freebsd mailing list