1. Forum
  2. Usenet
  3. LINUX.DEBIAN.USER.FRENCH

  • Re: Easyrsa/OpenVPN: "dh key too small" doit-on =?utf-8?B?cmUt?= =?utf-

    From Michel Verdier@21:1/5 to All on Mon Nov 18 08:30:02 2024
    Le 17 novembre 2024 Olivier a écrit :

    Je dois remplacer en urgence un serveur OpenVPN qui utilisait une clé
    DH de longueur jugée trop courte par la nouvelle version d'OpenVPN.

    1. Si j'adopte un nouveau fichier DH, dois-je aussi re-générer les
    dizaines de certificats des clients du VPN ?

    Diffie Hellman est uniquement du côté serveur. C'est indépendant de
    Easyrsa, même si on peut l'utiliser pour générer la clef. Le .conf openvpn suggère d'ailleurs : openssl dhparam -out dh2048.pem 2048

    2. Si j'adopte une clé de grande longueur (4096 bits) "pour être tranquille", quel impact sur les performances du VPN ?

    Diffie Hellman est utilisé juste lors des échanges de clefs SSL/TLS : https://wiki.openssl.org/index.php/Diffie_Hellman
    Donc pas d'impact de performances visible par rapport au reste.

    Par contre il faut s'assurer que les clients peuvent utiliser la
    longueur envisagée, donc ne sont pas d'une trop vieille version.

    --- SoupGate-Win32 v1.05
    * Origin: fsxNet Usenet Gateway (21:1/5)