Make openssl refrain from DH altogether
authorKlaus Aehlig <aehlig@google.com>
Mon, 2 Nov 2015 10:44:34 +0000 (11:44 +0100)
committerKlaus Aehlig <aehlig@google.com>
Mon, 2 Nov 2015 14:17:57 +0000 (15:17 +0100)
As various ssl implementations have different ideas about
which dh key lengths are acceptable, refrain from standard
dh altogether (and not only from anonymous dh) to avoid
handshake problems.

Signed-off-by: Klaus Aehlig <aehlig@google.com>
Reviewed-by: Helga Velroyen <helgav@google.com>

src/Ganeti/Constants.hs

index 7d04720..a0d62de 100644 (file)
@@ -562,7 +562,7 @@ rsaKeyBits = 2048
 -- after it's been removed. Use the "openssl" utility to check the
 -- allowed ciphers, e.g.  "openssl ciphers -v HIGH:-DES".
 opensslCiphers :: String
-opensslCiphers = "HIGH:-DES:-3DES:-EXPORT:-ADH"
+opensslCiphers = "HIGH:-DES:-3DES:-EXPORT:-DH"
 
 -- * X509