"Obviamente, uno no quiere que DH sea el eslabón más débil de la cadena. Usar AES-256 y solo asegurar el intercambio de claves con DH-512 es estúpido, por supuesto". Exactamente. DH y RSA son diferentes, pero el algoritmo más efectivo para forzarlos es el mismo (vea la respuesta de Tom Leeks), por lo que sus niveles de seguridad son similares. (DH es en realidad un poco más fuerte). Lo más obvio es hacer que tus parámetros DH y tus claves RSA sean del mismo tamaño.
"¿Hay alguna otra razón para hacer coincidir las longitudes de clave?" No, pero ya tienes todos los motivos.
"Especialmente, ¿hay algo en los protocolos que requiera esto?" No, no tienen tienen para coincidir. Puedes hacer lo que quieras. TLS no le importa. De hecho, muchas los sitios web utilizan claves RSA de 2048 bits pero, lamentablemente, siguen utilizando DH de 1024 bits. (Apache reparó esto recientemente, finalmente.)
"Si siempre uso el DH-2048 (y todo lo demás es comparativamente seguro o más débil), ¿esto afectaría algo (excepto el rendimiento)?" Bueno, en una configuración segura, todo lo demás será comparativamente seguro (RSA) o strong (AES). Si estás usando algo más débil, debes parar. :-) Para responder a tu pregunta, sin embargo, creo que estaría bien.
En cuanto al rendimiento, la mayoría de los clientes son compatibles con ECDHE, que no es mucho más lento que no -PFS intercambio de claves . El DHE clásico es significativamente más lento y empeora a medida que aumenta el tamaño del parámetro, pero no hará una gran diferencia si la mayoría de sus clientes no lo usan y su terminador SSL no se está ejecutando sobrecargado.
Tenga en cuenta que algunos clientes, en su mayoría Java, son incompatibles con los parámetros de DH superiores a 1024 bits. Si realmente necesita compatibilidad con ellos, podría tener sentido sacrificar algo de seguridad y usar 1024 bits DH, que todavía es seguro, apenas. Sin embargo, sería mejor resolver el problema de otra manera. Las versiones más nuevas de Java admiten ECDHE, por ejemplo.
Editar: El punto señalado por CodesInChaos y Tom Leek, de que su clave RSA solo tiene que permanecer segura durante un año o dos hasta que caduque su certificado, y romperla solo le permite hacerse pasar por usted, pero que su clave DH tiene que permanecer segura durante décadas, hasta que ya no te importe si tus datos se descifran, es muy bueno. Probablemente sea más importante que lo que dije, así que lo copiaré y lo pegaré aquí. :-D
Editar: Por cierto, advierto contra que excedan 2048 bits. Estarías entrando en un reino de problemas de compatibilidad de clientes menos estudiados. Firefox, por ejemplo, solía tener un límite de alrededor de 2200 bits (en realidad). (Probablemente podrías preguntarle a la comunidad de GnuTLS. Tienen experiencia con DH extraordinariamente grandes).