DHE - криптографический протокол, позволяющий двум и более сторонам получить общий секретный ключ, используя незащищенный от прослушивания канал связи. Полученный ключ используется для шифрования дальнейшего обмена с помощью алгоритмов симметричного шифрования.
Шаг 1. Генерируем DH группу
Большинство современных браузеров (Google Chrome, Mozilla Firefox, and Microsoft Internet Explorer) используют группу шифрования 1024-bit. Рекомендую сгенерировать 2048-bit группу.
1
openssl dhparam -out dhparams.pem 2048
Шаг 2. Конфигурация сервисов
Для каждого сервиса необходимо два параметра (1) безопасные шифры, (2) DHE параметры, которые сгенерировали на прошлом шаге.
Apache HTTP Server (mod_ssl)
SSL параметр должен быть включен глобально в httpd.conf Отключаем поддержку SSLv2 and SSLv3 и включаем поддержку TLS
Вносим настройки в секцию LOCAL_CONFIG конфигурационного файла /etc/mail/sendmail.mc
Вносим шифры
1
O CipherList=ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA