我從最近的一份出版物中瞭解到,使用任何標準1024位dhparam值都存在重大風險。我們鼓勵網站使用更長的dhparam值或自行創建。爲什麼使用標準dhparam值TLS
我的問題是:
爲什麼會Web服務器目前使用任何標準DH PARAM值?剛纔我在筆記本電腦上創建了一個4096位DH param值,使用openssl dhparam 4096.它在大約40秒內完成。
爲什麼在Web服務器第一次運行或配置期間沒有這樣做? 40秒的計算時間並不是真正的服務器負擔。我可以理解,嵌入式設備有更多的約束條件,但通用Web服務器產生的4096位值如此之快,是否有理由永遠使用標準值?
並增加了問題...
爲什麼不每天定期生成新的dh PARAM值,比如一次?這樣做會大大降低對任何特定參數組的成功攻擊的價值,並且誰知道他們可能會發生什麼類型的攻擊。
應該在加密或安全 – erickson