在我们的应用程序中,我们使用OpenSSL进行安全连接,并使用DH进行密钥交换。使用最近的OpenSSL版本,可以使用的最小密钥长度为768和1024。 我们的应用程序是对等应用程序,为了满足此要求,我们需要更新所有应用程序实例以开始使用1024个DH密钥。与今天一样,我们的应用程序默认使用512键。可以通过配置文件配置它们以指定102/2048/4096长度,但这需要在所有系统上手动更改。
根据我的理解,服务器端将始终决定DH密钥长度。因此,如果不更新服务器端,我们将无法在客户端更新OpenSSL版本。
有没有办法从客户端强制执行最小DH密钥长度,以便服务器生成DH密钥,客户端指定的最小长度?