OpenSSL: Default the SINGLE_DH_USE option flag set
authorJeremy Harris <jgh146exb@wizmail.org>
Thu, 14 Jan 2016 21:13:01 +0000 (21:13 +0000)
committerJeremy Harris <jgh146exb@wizmail.org>
Thu, 14 Jan 2016 21:13:01 +0000 (21:13 +0000)
doc/doc-docbook/spec.xfpt
doc/doc-txt/ChangeLog
src/src/tls-openssl.c

index 44623a5..aa1e677 100644 (file)
@@ -15431,7 +15431,7 @@ harm. This option overrides the &%pipe_as_creator%& option of the &(pipe)&
 transport driver.
 
 
-.option openssl_options main "string list" "+no_sslv2"
+.option openssl_options main "string list" "+no_sslv2 +single_dh_use"
 .cindex "OpenSSL "compatibility options"
 This option allows an administrator to adjust the SSL options applied
 by OpenSSL to connections.  It is given as a space-separated list of items,
index 52d4aeb..09437e4 100644 (file)
@@ -144,6 +144,10 @@ JH/34 Bug 1192: replace the embedded copy of PolarSSL RSA routines in the DKIM
       support, by using OpenSSL or GnuTLS library ones.  This means DKIM is
       only supported when built with TLS support.
 
+JH/35 Require SINGLE_DH_USE by default in OpenSSL (main config option
+      openssl_options), for security.  OpenSSL forces this from version 1.1.0
+      server-side so match that on older versions.
+
 
 Exim version 4.86
 -----------------
index 9944a8f..3ecb6cb 100644 (file)
@@ -2751,6 +2751,9 @@ result = 0L;
 #ifdef SSL_OP_NO_SSLv2
 result |= SSL_OP_NO_SSLv2;
 #endif
+#ifdef SSL_OP_SINGLE_DH_USE
+result |= SSL_OP_SINGLE_DH_USE;
+#endif
 
 if (option_spec == NULL)
   {