Aperçu
Échange de clé Diffie-Hellman (DH) est une méthode pour générer une clé privée entre deux machines connectées via un canal non sécurisé.
Lorsqu'un client commence une connexion à un service Web sécurisé, la négociation SSL se produit lors de l'échange des clés publiques, puis les deux parties s'entendent sur les clés et les chiffrements à utiliser lors de la communication.
In cette illustration est parfaitement expliqué comment la négociation se comporte avec des couleurs. Imaginez comment cela fonctionne avec les grands nombres aléatoires calculés par les deux nœuds de communication.
Comment il est utilisé dans un équilibreur de charge
L'équilibreur de charge crée des services SSL lorsqu'il effectue des opérations de déchargement SSL, sous la forme:
Zen Load Balancer utilise le OpenSSL outils avec dhparam options pour générer les clés Diffie-Hellman. En savoir plus sur les options complètes ici.
Pour créer une batterie de serveurs SSL Offload (Profil HTTP avec écouteur HTTPS dans Zen Load Balancer), il est nécessaire de générer une clé Diffie-Hellman avec les bonnes pratiques suivantes afin de garantir une génération de clé robuste.
1. Une longueur de clé minimale de 2048 bits. Plus la longueur sera longue, plus le décryptage sera difficile dans un délai raisonnable.
2. Une clé DH par batterie SSL afin de rendre plus difficile la rupture de la communication de plusieurs services SSL et d'isoler la sécurité de chaque batterie.
3. Moins prévisible dans la génération aléatoire signifie plus difficile de rompre la communication.
Notez que la génération des clés Diffie-Hellman est généralement un processus coûteux en termes de calcul car la génération de nombres aléatoires peut prendre trop de temps, mais cela garantit la sécurité de nos services SSL.
Références
https://en.wikipedia.org/wiki/Diffie%E2%80%93Hellman_key_exchange
http://mathworld.wolfram.com/Diffie-HellmanProtocol.html