<html><head><meta http-equiv="content-type" content="text/html; charset=utf-8"></head><body dir="auto"><div>On 12-Sep-2013, at 1:18, Florian Weimer <<a href="mailto:fw@deneb.enyo.de">fw@deneb.enyo.de</a>> wrote:</div><div><br></div><blockquote type="cite"><div><span>I suppose the simplest mitigation would be to avoid ephemeral</span><br><span>Diffie-Hellman key agreement altogether, that is, remove it from the</span><br><span>cipher suite default.</span><br></div></blockquote><div><br></div>Dispensing with gnutls and using openssl like most other distros do would possibly make more sense, but that is a license war dating back to 2008 and still open on bts.<div><br></div><div><a href="http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=446036">http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=446036</a></div><div><br></div><div>and of course these</div><div><a href="http://blog.zugschlus.de/archives/585-exim4-vs.-OpenSSL-vs.-GnuTLS.html">http://blog.zugschlus.de/archives/585-exim4-vs.-OpenSSL-vs.-GnuTLS.html</a></div><div><a href="http://blog.josefsson.org/2007/11/09/response-to-gnutls-in-exim-debate/">http://blog.josefsson.org/2007/11/09/response-to-gnutls-in-exim-debate/</a></div><div><br><blockquote type="cite"><div><span></span><span>512 bits DH probably allows passive attacks, so IMHO it's unsuitable</span><br><span>even if the peer's certificate isn't validated in some way (because</span><br><span>like strong DH, this still provides security against passive</span><br><span>eavesdroppers).</span><br></div></blockquote><br></div><div>It is a fig leaf but still better than transporting email en clair.</div><div><br></div><div>--srs</div></body></html>