Actualmente con apache / mod_ssl, si DHE está habilitado, se utilizará una clave efímera de 1024 bits. Encontré la siguiente cita en blog de Adam Langley :
Lo ideal sería que el grupo DH coincida o supere el tamaño de la clave RSA, pero el DHE de 1024 bits es posiblemente mejor que el RSA directo de 2048 bits, por lo que puede hacerlo si lo desea.
Por lo tanto, parece que aboga por algo como DHE-RSA-AES256-SHA
con claves DH efímeras de 1024 bits sobre AES256-SHA
con una clave RSA de 2048 bits. Según tengo entendido, el DH de 1024 bits (efímero o no) es de seguridad comparable al RSA de 1024 bits. ¿Por qué haría tal recomendación? ¿Valora tanto el secreto a futuro que ofrece DHE?