Обзор
Обмен ключами Диффи-Хеллмана (DH) метод генерации закрытого ключа между двумя компьютерами, подключенными через небезопасный канал
Когда клиент начинает соединение с защищенной веб-службой, происходит согласование SSL с обменом открытыми ключами, и затем обе стороны договариваются о ключах и шифрах, которые будут использоваться во время связи.
In эта иллюстрация прекрасно объясняется, как переговоры ведут себя с цветами. Только представьте, как это работает с большими случайными числами, вычисленными обоими узлами связи.
Как это используется в балансировщике нагрузки
Балансировщик нагрузки создает службы SSL при выполнении операций разгрузки SSL в форме:
Zen Load Balancer использует OpenSSL инструменты с dhparam опции для генерации ключей Диффи-Хеллмана. Узнайте больше о полных вариантах здесь.
Для того чтобы создать SSL Offload farm (Профиль HTTP с прослушивателем HTTPS в Zen Load Balancer) необходимо сгенерировать ключ Диффи-Хеллмана с помощью следующих передовых методов, чтобы обеспечить надежную генерацию ключей.
1. Минимальная длина ключа в битах 2048. Большая длина будет означать, что труднее расшифровать в разумные сроки.
2. Один ключ DH на ферму SSL, чтобы затруднить нарушение связи нескольких служб SSL и изолировать безопасность каждой фермы.
3. Менее предсказуемое при генерации случайных чисел означает более сложную связь.
Обратите внимание, что генерация ключей Диффи-Хеллмана обычно является вычислительно дорогостоящим процессом, поскольку генерация случайных чисел может занимать слишком много времени, но это обеспечивает гарантию безопасности для наших служб SSL.
Рекомендации
https://en.wikipedia.org/wiki/Diffie%E2%80%93Hellman_key_exchange
http://mathworld.wolfram.com/Diffie-HellmanProtocol.html