Generé los parámetros DH y los configuré en el lado del servidor. ¿Siempre selecciona la suite de cifrado DHE_RSA? ¿Hay alguna razón por la que el parámetro DH tenga que configurar solo el lado del servidor?
DH efímero: ¿qué se cambia P yg en cada sesión? o clave privada?
Fijo DH significa un certificado DH. Nadie usa esto. Quieres DHE con certificado RSA. En realidad, desea ECDHE sobre NIST P-256 para compatibilidad y X25519 para seguridad y rendimiento con navegadores modernos. Las nuevas versiones de Google Chrome no son compatibles con DHE.
Si usa DHE (que creo que su servidor debería admitir), su servidor debería generar parámetros seguros con el mismo tamaño de bit que la clave RSA en el certificado (generalmente 2048 bits). Con nginx, debe usar el comando openssl dhparam [1] para generar un archivo y la declaración de configuración ssl_dhparam nginx [2] para apuntar a ese archivo. Otros servidores web y terminadores TLS tienen diferentes métodos para generar parámetros DH seguros de tamaño adecuado.
1 - enlace
2 - enlace
Lea otras preguntas en las etiquetas tls key-exchange diffie-hellman rsa