Re: Easyrsa/OpenVPN: "dh key too small" doit-on re-générer les fichiers .key et .crt ?

To: debian-user-french@lists.debian.org
Subject: Re: Easyrsa/OpenVPN: "dh key too small" doit-on re-générer les fichiers .key et .crt ?
From: Michel Verdier <mv524@free.fr>
Date: Mon, 18 Nov 2024 08:23:57 +0100
Message-id: <[🔎] 87jzd1xb1p.fsf@free.fr>
In-reply-to: <[🔎] CAPeT9ji2Q=D=o83zUrD8R70NG9aiAbKe0uS1Hf=OCDG9SLOMTw@mail.gmail.com> (Olivier's message of "Sun, 17 Nov 2024 17:08:15 +0100")
References: <[🔎] CAPeT9ji2Q=D=o83zUrD8R70NG9aiAbKe0uS1Hf=OCDG9SLOMTw@mail.gmail.com>

Le 17 novembre 2024 Olivier a écrit :

> Je dois remplacer en urgence un serveur OpenVPN qui utilisait une clé
> DH de longueur jugée trop courte par la nouvelle version d'OpenVPN.
>
> 1. Si j'adopte un nouveau fichier DH, dois-je aussi re-générer les
> dizaines de certificats des clients du VPN ?

Diffie Hellman est uniquement du côté serveur. C'est indépendant de
Easyrsa, même si on peut l'utiliser pour générer la clef. Le .conf openvpn
suggère d'ailleurs : openssl dhparam -out dh2048.pem 2048

> 2. Si j'adopte une clé  de grande longueur (4096 bits) "pour être
> tranquille", quel impact sur les performances du VPN ?

Diffie Hellman est utilisé juste lors des échanges de clefs SSL/TLS :
https://wiki.openssl.org/index.php/Diffie_Hellman
Donc pas d'impact de performances visible par rapport au reste.

Par contre il faut s'assurer que les clients peuvent utiliser la
longueur envisagée, donc ne sont pas d'une trop vieille version.

Reply to:

References:
- Easyrsa/OpenVPN: "dh key too small" doit-on re-générer les fichiers .key et .crt ?
  - From: Olivier <oza.4h07@gmail.com>

Prev by Date: Re: failed to resume link (SControl 0) : résolu
Next by Date: systemd et configuration réseau
Previous by thread: Re: Easyrsa/OpenVPN: "dh key too small" doit-on re-générer les fichiers .key et .crt ?
Next by thread: Compliation de la dernière version de libjxl
Index(es):
- Date
- Thread