Visão geral
Troca de chaves Diffie-Hellman (DH) é um método para gerar uma chave privada entre duas máquinas conectadas através de um canal inseguro.
Quando um cliente inicia uma conexão com um serviço da Web seguro, a negociação SSL ocorre trocando as chaves públicas e, em seguida, as duas partes entram em acordo em relação às chaves e cifras a serem usadas durante a comunicação.
In esta ilustração é perfeitamente explicado como a negociação se comporta com cores. Imagine como funciona com grandes números aleatórios calculados pelos dois nós de comunicação.
Como é usado em um balanceador de carga
O balanceador de carga cria serviços SSL quando executa operações de transferência de SSL, no formato:
O Zen Load Balancer usa o OpenSSL ferramentas com dhparam opções para gerar as chaves Diffie-Hellman. Leia mais sobre as opções completas aqui.
Para criar um farm de descarregamento de SSL (Perfil HTTP com ouvinte HTTPS no Zen Load Balancer) é necessário gerar uma chave Diffie-Hellman com as seguintes boas práticas para garantir uma geração de chave robusta.
1. Um comprimento mínimo de chave de bits 2048. Mais tempo significará mais difícil de decifrar em um período de tempo razoável.
2. Uma chave DH por farm de SSL para tornar mais difícil interromper a comunicação de vários serviços SSL e isolar a segurança de cada farm.
3. Menos previsível na geração aleatória significa mais difícil interromper a comunicação.
Observe que a geração das chaves Diffie-Hellman geralmente é um processo computacionalmente caro, pois a geração aleatória de números pode levar muito tempo, mas isso garante uma garantia de segurança para nossos serviços SSL.
Referência
https://en.wikipedia.org/wiki/Diffie%E2%80%93Hellman_key_exchange
http://mathworld.wolfram.com/Diffie-HellmanProtocol.html