Neumi, je to komplikovane, jeste kazde disto GNU a Javy si to cpe jinam... Vubec pouziva nekdo Java SSL na produkci?
Obecne radsi neco od F5 a pak Javu.
Tak ono pro Java servery není úplně ideální řešit, dost často se doporučuje, SSL mít po proxy/load balancer a zatím jít už nešifrovaně nebo jiným protokolem jako AJP.
Zalezi na klasifikaci dat... pokud se provozem posilaji tajna data, tak proste nemuzete jit z load balanceru na backendy nesifrovane. Musi se provest reenkrypce a to idealne stejne vysokych parametru jako smerem ke klientovi.
Myslíte ten F5 který měl TLS úplně rozbité protože implementace obsahovala chyby z SSLv3? Doufám že máte patchnutý firmware, jinak je to mnohem děravější než nějaká java :)
Ano, omezení klíčů tam bylo, ale jen pro Diffie-Helmann tedy keyexchange a takže certifikáty i předtím mohli mít klíče libovolně dlouhé. Ostatně i některé ostatní implementace v té době používali slabý key exchange a ke změně došlo až jako reakce na nové typy útoků.
