ECCの動作の現状

openssl

Apache22

Oops, no RSA or DSA server certificate found for 'YOUR.DOMAIN:0'?!

Holy shit! Apache2.2 doesn't support EC-based Server-Certificate yet!


http://www.jnsa.org/seminar/pki-day/2010/data/4_urushima.pdf
によると、ECDH/ECDSAの認証がApache2.3になるまで完成していないとのこと。
http://www.takeyellow.com/apachemirror//httpd/CHANGES_2.3
公式情報で見れば、2.3.3でECC鍵及びECDHのサポートを開始したとある。


http://mail-archives.apache.org/mod_mbox/httpd-dev/201012.mbox/%3CA418DE49-617A-45E2-9F6E-68642611773B@apache.org%3E
2010/12/22に2.3.10-alphaが出て、2011/3/7に2.3.11-betaが出た。2.4.0の正式版が出るのは2011年初頭とされていたけど、2.1-alphaから2.2が出るまでに9ヶ月かかったらしいし、まだ若干先のことになりそうだ。

Dovecot 2.0.9

起動まではOK。
Windows上のThunderbird3.1.9では ssl_error_no_cypher_overlap と怒られる。Outlook でも受信できず。サーバ上でのエラーはno shared cipherとのこと。もちょっと確認したい。
openssl s_clientで確認。ECDSA鍵ではSSLv3通信成立せず、RSA鍵に変えないと通信不能だった。どうやら未対応。

Postfix2.8.2

なにごともなく使える。
postfix2.6以降をopenssl1.0以降とリンクしてることが条件。
通常通りの設定に加え、smtpd_tls_cert_file の代わりにsmtpd_tls_eccert_file、 smtpd_tls_key_file の代わりに smtpd_tls_eckey_file の設定をすればok。
俺々CA(ECDSA signed)のcertを入れたところ、メールの送信まで確認できた。

OpenSSH 5.4 with OpenSSL 0.9.8n

上記バージョンの、FreeBSD 8.1-RELEASEについてきたやつは未対応っぽい。
http://slashdot.jp/~doda/journal/525952 によると、OpenSSH5.7 からECDH及びECDSAに対応しているそうな。
Windows上の端末エミュレータでは、PuTTY未対応・Tera Term 4.69(TTSSH 2.56) より対応・RLogin 2.10.0 より対応 というのが現状らしい。PuTTYから乗り換える良いタイミングかも知れない。