MediaMill Blog

Fehler: imap-login: Error: Failed to initialize SSL server context: Can’t load DH parameters: error:1408518A:SSL routines:ssl3_ctx_ctrl:dh key too small – Nach einen Upgrade von Debian 9 auf Debian 10 Buster funktioniert die Anmeldung an dem Dovecot IMAP Server nicht mehr.

Verfasst von

mediamill

in

, ,

Nach dem Update von Debian Stretch auf Debian Buster, bei dem auch der IMAP Server Dovecot auf die Version 2.3.4.1 aktualisiert wurde, funktioniert die Authentifizierung nicht mehr. Bei Login-Versuchen sieht man in der Logdatei /var/log/dovecot.log folgende Fehlermeldung:

imap-login: Error: Failed to initialize SSL server context: Can’t load DH parameters: error:1408518A:SSL routines:ssl3_ctx_ctrl:dh key too small

Bei einer Webrecherche ergaben sich schnell einige Fundstellen zu dem Problem:

In der Upgradedoku von Dovecot Version v2.2 to v2.3 wird darauf hingewiesen dass man eine neue Einstellung ssl_dh der Dovecot Config hinzufügen muss.


ssl-parameters.dat file is now obsolete. You should use ssl_dh setting instead: ssl_dh=</etc/dovecot/dh.pem

Lösungsschritte:

  • Erzeugen einer Datei dh.pem für die Diffie-Hellman Parameter
    • openssl dhparam -out /etc/dovecot/dh.pem 4096
      • Hinweis: Die Ausführung des Befehls kann durchaus mehrere Minuten dauern.
  • Ändern der Dovecot Config
    • Bearbeiten der Datei /etc/dovecot/dovecot.conf
    • Hinzufügen folgender Zeile am Ende der Datei:
      • ssl_dh=</etc/dovecot/dh.pem
  • Neustart des Dovecot Service

Danach funktionierte die Authentifizierung mit Dovecot wieder wie vorher.

Kommentare

22 Antworten zu „Fehler: imap-login: Error: Failed to initialize SSL server context: Can’t load DH parameters: error:1408518A:SSL routines:ssl3_ctx_ctrl:dh key too small – Nach einen Upgrade von Debian 9 auf Debian 10 Buster funktioniert die Anmeldung an dem Dovecot IMAP Server nicht mehr.“

  1. Avatar von Peter
    Peter

    kurz, knapp, zielführend

    Danke!

  2. Avatar von Michael
    Michael

    Vielen dank, hat mir sehr geholfen!

  3. Avatar von John
    John

    Großartig! Danke!

  4. Avatar von Skaysurfer
    Skaysurfer

    2 x Daumenhoch!

  5. Avatar von Christian
    Christian

    Danke!!!

  6. Avatar von Frank Gruemmert
    Frank Gruemmert

    3 daumen hoch

  7. Avatar von Ralf
    Ralf

    Fantastisch, danke.

    Bei mir steht die Konfiguration in /etc/dovecot/conf.d/10-ssl.conf

    Habe da noch ssl_dh_parameters_length=4096 gesetzt, weiß aber nicht, ob das sein muss und Auswirkungen hat.

  8. Avatar von tom
    tom

    Clap!!! Great.

  9. Avatar von Holger Peters
    Holger Peters

    Danke! hat 1a geklappt

  10. Avatar von Thorsten
    Thorsten

    Super Anleitung. Vielen Dank für die schnelle Hilfe!

  11. Avatar von AndyBuzzard
    AndyBuzzard

    Dankeschön fürs Teilen! hat mir einiges an Zeit erspart 😀

  12. Update auf Ubuntu 20.04 mit plesk – Sven Nissel

    […] https://www.mediamill.de/blog/2020/01/12/nach-einen-upgrade-von-debian-9-auf-debisn-10-buster-funkti&#8230; […]

  13. Avatar von Patrick
    Patrick

    Auch noch ein Dankeschön von mir. 🙂
    Die Anweisung aus mail.log hat es nicht getan
    Jul 1 06:40:02 r3 dovecot: config: Warning: please set ssl_dh= /etc/dovecot/dh.pem

    Ich glaube, der Schlüssel war zu kurz

  14. Avatar von Uwe
    Uwe

    1. Treffer in Google, wenn man nach „Failed to initialize SSL server context: Can’t load DH parameters“ sucht. Super! wenn es auch Ubuntu in meinem Fall war(möglicherweise stammt das Paket aus Debian) aber läuft jetzt wieder. Danke!

  15. Avatar von Armin
    Armin

    Danke kann heute auch Silvester Feiern 🙂

  16. Avatar von Steffen Mutter
    Steffen Mutter

    Nunja, so ein apt ful-upgrade (in meinem Fall) von Stretch zu Buster ist schon so ein Ding. Das war der erste Fehler nach dem Upgrade, in den ich rein gerannt bin. Es werden noch viele weiterefolgen, fürchte ich.
    Vielen Dank für die Anleitung, dieses Kommando läuft aber echt stundenlang, um einen Schlüssel zu erstellen. 4096 bit ist aber auch ein bisschen krass, aber was soll’s.

  17. Avatar von Juan
    Juan

    Ich musste gemäß https://doc.dovecot.org/installation_guide/upgrading/from-2.2-to-2.3/ zusätzlich noch /var/lib/dovecot/ssl-parameters.dat umbenennen (ggfs. löschen). Dann ging es endlich auch mit Dovecot 2.3.4.1

  18. Avatar von Boris
    Boris

    Thank you so much!
    Setting „-dsaparam“ will accelerate the key generation:
    openssl dhparam -dsaparam -out dh.pem 4096
    (see: https://security.stackexchange.com/a/95184)

  19. Avatar von Christian
    Christian

    1000 Dank! Hab’s bei google gefunden nachdem ich stumpf stretch auf buster gezogen habe – hast mir zig Stunden Arbeit und Frustration erspart!

  20. Avatar von Renato
    Renato

    Klappt tadellos! Herzlichen Dank für die Mühe!

  21. Avatar von Frank
    Frank

    Perfekt! Problem in 5 Minuten gelöst!
    DANKE! DANKE! DANKE!

  22. Avatar von Andreas
    Andreas

    Vielen vielen Dank für diese tolle Anleitung. Hatte schon Schweißperlen auf der Stirn. Das hat viel Frust erspart.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Weitere Beiträge