Ho generato i parametri DH e impostato sul lato server. seleziona sempre la suite di crittografia DHE_RSA? C'è qualche ragione per cui il parametro DH deve impostare solo il lato server.
Effemerale DH: che cosa cambia P e g ad ogni sessione? o chiave privata?
Fixed DH significa un certificato DH. Nessuno lo usa. Vuoi DHE con certificato RSA. In realtà, vuoi ECDHE su NIST P-256 per compatibilità e X25519 per sicurezza e prestazioni con i browser moderni. Le nuove versioni di Google Chrome non supportano DHE.
Se utilizzi DHE (che penso che il tuo server dovrebbe supportare), il tuo server dovrebbe generare parametri sicuri con le stesse dimensioni di bit della chiave RSA nel certificato (generalmente 2048 bit). Con nginx, dovresti usare openssl dhparam command [1] per generare un file e ssl_dhparam nginx configuration statement [2] per puntare a quel file. Altri server Web e terminatori TLS hanno diversi metodi per generare parametri DH sicuri di dimensioni appropriate.
1 - link
2 - link
Leggi altre domande sui tag tls key-exchange diffie-hellman rsa