Fixed DH significa un certificato DH. Nessuno lo usa. Vuoi DHE con certificato RSA. In realtà, vuoi ECDHE su NIST P-256 per compatibilità e X25519 per sicurezza e prestazioni con i browser moderni. Le nuove versioni di Google Chrome non supportano DHE.
Se utilizzi DHE (che penso che il tuo server dovrebbe supportare), il tuo server dovrebbe generare parametri sicuri con le stesse dimensioni di bit della chiave RSA nel certificato (generalmente 2048 bit). Con nginx, dovresti usare openssl dhparam
command [1] per generare un file e ssl_dhparam
nginx configuration statement [2] per puntare a quel file. Altri server Web e terminatori TLS hanno diversi metodi per generare parametri DH sicuri di dimensioni appropriate.
1 - link
2 - link