[freebsd] dh key too small (Re: Нагруженный VPN сервер)
Eugene Grosbein
eugen at grosbein.net
Fri Oct 5 02:34:27 EEST 2018
04.10.2018 19:49, Alexander Andreyev пишет:
[skip]
Александр, вы в курсе, что к вам на @rri.kiev.ua почта может не ходить?
MX-ом для этого домена работает smtp.dako.ua, который заявляет поддержку TLS,
но предъявляет сертификат с ключом длиной всего в 512 бит, а последние два года
после https://www.openssl.org/news/secadv/20150611.txt это может приводить
к отказу отправляющего релея работать с таким MX диагностикой типа такой:
sm-mta[9199]: STARTTLS=client, error: connect failed=-1, reason=dh key too small, SSL_error=1, errno=0, retry=-1
Нынче лучше для SMTP использовать сертификат с длиной ключа минимум в 1024 бита, а лучше в 2048 (с запасом).
More information about the freebsd
mailing list