HAProxy SSL dh(Diffie-Hellman) Parameters

• OpenSSL 취약점 정리, Logjam(로그잼)에서 Heartbleed까지
• Logjam: TLS 취약점 (CVE-2015-4000)
• Guide to Deploying Diffie-Hellman for TLS
• support.comono.com : Enabling Perfect Forward Secrecy
• CSR 생성 및 인증서 적용 방법 안내
• HAProxy SSL 인증서 설치/적용 가이드
• gabia SSL보안서버 인증서 : 설치방법
• KnowledgeBase SSL 설치/적용 이슈 주요 사례
• ssllabs.com : SSL Server Test
• SSL Checker SSL 인증서 설치 적용 테스트 확인
• "서버에 보안이 약한 임시 Diffie-Hellman 공개 키가 있습니다" 메시지

코모도는 support.comono.com : Enabling Perfect Forward Secrecy페이지에 아파치와 Nginx 에서 DH Parameters 를 설정하는 방법이 기술 되어 있다.

Cipher Suites

ssl-default-bind-ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA

DH Parameters

Append the DH parameter file generated using OpenSSL to your certificate (crt file).
OpenSSL을 사용하여 생성 된 DH 매개 변수 파일을 인증서 (crt 파일)에 추가하십시오.

Note: while there is configuration option named tune.ssl.default-dh-param to set the maximum size of primes used for DHE, placing custom parameters in your certificate file overrides it.
참고 : DHE에 사용되는 소수의 최대 크기를 설정하려면 tune.ssl.default-dh-param이라는 구성 옵션이 있지만 인증서 파일에 사용자 지정 매개 변수를 추가하면 이를 재정의합니다.

Reload configuration
구성 다시로드

Comodo SSL

# dhpram.pem 생성
openssl dhparam -out dhparam.pem 2048