https://www.debian.org/releases/buster/amd64/release-notes/ch-upgrading.de.html

Ändere alle stretch EInträge in oldstable. Damit wird zum jetzigen Zeitpunkt
die Version auf buster festgelegt.

vi /etc/apt/sources.list

deb http://ftp.de.debian.org/debian/ oldstable main non-free contrib
deb-src http://ftp.de.debian.org/debian/ oldstable main non-free contrib

deb http://security.debian.org/debian-security oldstable/updates main contrib non-free
deb-src http://security.debian.org/debian-security oldstable/updates main contrib non-free

# stretch-updates, previously known as 'volatile'
deb http://ftp.de.debian.org/debian/ oldstable-updates main contrib non-free
deb-src http://ftp.de.debian.org/debian/ oldstable-updates main contrib non-free

Prüfen, ob alles gehen kann, vor allem Festplattenplatz!
Es dürfen keine Fehler kommen.

apt -o APT::Get::Trivial-Only=true full-upgrade

Mini upgrade

apt-get update
apt-get upgrade
reboot

Full upgrade

apt-get full-upgrade
reboot

Da fehlt was, ssl_dh = </usr/share/dovecot/dh.pem einfügen

vi /etc/dovecot/conf.d/10-ssl.conf

ssl_dh = </usr/share/dovecot/dh.pem

GnuTls bracuht nun noch ein zusätzlcihen mod: socache_dbm

a2enmod socache_dbm
invoke-rc.d apache2 restart

Fehlermeldung: „OpenSSL: error:1408518A:SSL routines:ssl3_ctx_ctrl:dh key too small“

Naja, entweder man erstellt halt einen neuen DH-Key, oder man passt die SSL-Konfiguration an.
Ich habe die Konfiguration angepasst, da ich sonst den DH-key hätte neu verteilen müssen.

# vi /etc/ssl/openssl.cnf

#CipherString = DEFAULT@SECLEVEL=2
CipherString = DEFAULT@SECLEVEL=1

Hier noch die Lösung, wie man den DH-key neu erstellt :D

# cd /etc/openvpn/ssl/
# openssl dhparam -out dh2048.pem 2048
# vi /../server-tcp.conf

dh ssl/dh2048.pem

Nicht vergessen! Den dh2048.pem - key auch auf die CLients zu verteilen … und deren Konfiguration anzupassen!