久しぶりに icedove を起動してみたら,courier-imap-ssl で運用しているIMAPサーバに繋がらなくなってた.サーバ側では以下のように couriertls の部分でコケている.
imapd-ssl: couriertls: accept: error:14094417:SSL routines:SSL3_READ_BYTES:sslv3 alert illegal parameter
どうやらこれは courier-ssl: mkdhparams default bit size is insufficient for libnss3 >= 3.19.1 というバグの影響らしい.実際 client (sid)側の libnss3 は 2:3.19.1-2 だった.
bug report のページにあるとおり,workaround は以下で/etc/courier/dhparams.pem を再生成するというもの.
# rm /etc/courier/dhparams.pem # DH_BITS=2048 mkdhparams
もしくは /usr/sbin/mkdhparams を修正してしまって (BITS=768 を BITS=2048 に変更),以下をする.
# rm /etc/courier/dhparams.pem # dpkg-reconfigure courier-ssl
追記(2015/6/18)
libnss3 3.19.1 以降で DH (Diffie-Hellman) 鍵のビット数は1023bit以上,ということになっていて,これは logjam attack対策らしい.