Differente chiave Diffie-Hellman per sito?

Naviga le tue risposte
1

Recentemente ho messo ciascuno dei miei siti attraverso l'analizzatore labs di ssl e ora li ho tutti in esecuzione con un A + che ottiene punteggi perfetti con ogni metrica ad eccezione di Key Exchange a 90.

Come parte di questo ho impostato globalmente il mio server Nginx per utilizzare un file dhparams.pem per ssl_dhparam . La mia domanda è se sia corretto o meno per tutti i miei diversi siti utilizzare lo stesso file dhparams.pem, o sarebbe considerato una pratica migliore per ogni sito utilizzare un file diverso?

    
posta David Baucum 26.09.2018 - 17:04
fonte

1 risposta

3

I parametri di Diffie Hellman non sono segreti. Di fatto sono condivisi interamente durante ogni scambio di chiavi. Riutilizzarli non dovrebbe essere un grosso problema in generale, se sono di buona qualità e lunghezza.

In passato era abbastanza comune usare parametri a 512 bit. È stato scoperto un attacco chiamato logjam in base al quale i dati per decodificare lo scambio di chiavi potevano essere pre-calcolati consentendo attacchi ragionevoli. Questo è considerato impraticabile anche per i parametri a 1024 bit, quindi l'uso di parametri a 2048 o 4096 bit elimina la possibilità di un attacco di pre-computazione sui valori specifici del tutto.

    
risposta data 26.09.2018 - 20:15
fonte

Leggi altre domande sui tag

Come proteggere un reindirizzamento della pagina di accesso Una chiave pubblica rimane la stessa quando viene rinnovato un certificato? [duplicare]